Khanu123/Threat-Detection-Log-Analyzer

GitHub: Khanu123/Threat-Detection-Log-Analyzer

一个Python蓝队日志分析工具,用于解析身份验证日志并自动检测暴力破解等可疑认证活动,生成分级安全报告。

Stars: 0 | Forks: 0

# 威胁检测日志分析器 一个 Python 蓝队项目,用于分析身份验证日志并识别可疑的登录行为,例如暴力破解尝试和多次登录失败。 ## 概述 该项目展示了防御性安全工程:解析日志、识别模式、划分严重程度,并生成对分析人员友好的输出。它被设计为一个面向网络安全、SOC 分析师和初级检测工程职位的作品集项目。 ## 功能 - 解析示例身份验证日志。 - 检测多次失败的登录尝试。 - 识别可疑的源 IP 地址。 - 跟踪受攻击的用户名。 - 划分告警严重程度。 - 生成可读的安全报告。 - 使用 Rich 改善终端输出。 ## 示例发现 ``` [MEDIUM] Possible brute-force attack from 203.0.113.10 (4 failed logins) ``` ## 安装 ``` git clone https://github.com/Khanu123/Threat-Detection-Log-Analyzer.git cd Threat-Detection-Log-Analyzer pip install -r requirements.txt ``` ## 用法 ``` python analyzer.py ``` ## 项目结构 ``` Threat-Detection-Log-Analyzer/ analyzer.py requirements.txt sample_logs/ reports/ screenshots/ ``` ## 展示技能 - Python 日志解析 - 检测逻辑 - 告警严重程度分类 - 安全报告 - SOC 风格的调查思维 ## 路线图 - 添加 JSON 和 HTML 报告导出。 - 添加 MITRE ATT&CK 映射。 - 为检测规则添加单元测试。 - 支持 Windows Event Logs 和 Web 访问日志。 - 添加告警去重和时间窗口关联。 ## 合规使用 本项目仅用于防御性网络安全学习和授权的日志分析。 ## 雇主评估 | 领域 | 证据 | | --- | --- | | 岗位相关性 | SOC 分析师 / 蓝队 / 检测工程 | | 核心安全经验 | 可以将多次身份验证失败进行分组、评分和生成报告,供分析师审查 | | 防御价值 | 展示了日志解析、严重程度分类、示例日志和对分析师友好的输出 | | 安全范围 | 仅使用提供的示例日志和防御性检测逻辑 | ## 专业进阶路径 - 添加时间窗口关联,以便告警基于真实的事件发生时间。 - 为暴力破解和有效账户活动添加 MITRE ATT&CK 参考。 - 为每条检测规则添加单元测试。 - 将发现导出为 Markdown、JSON 和 CSV。 - 为共享工作站、服务账户和配置错误的客户端添加误报说明。 ## 面试讨论点 - 原始日志如何变成 SOC 告警。 - 为什么仅凭多次失败并不总是恶意的。 - 在升级处理前应该收集哪些证据。 - 此项目与较新的 Splunk 和 Sentinel 实验有何联系。
标签:AMSI绕过, Python, SOC分析, 威胁检测, 安全报告, 无后门, 红队行动, 逆向工具