TizianoPalmieri99/detection-triage-toolkit

# 检测与分诊工具包 这是一个用于分析安全日志和工件的小型脚本集合，并附带了事件响应手册。这是我学习 SOC 和蓝队基础知识时构建的一个实操项目：我想要一些简单的工具来对警报进行初步分诊，而无需启动完整的 SIEM。 所有内容均使用 Python 标准库 —— 无需安装任何依赖。 ## 功能 | 脚本 | 用途 | |--------|---------| | `blue-team/auth_log_analyzer.py` | 分析 Linux `auth.log`：失败的 SSH 尝试、暴力破解、来自可疑 IP 的成功登录 | | `blue-team/ioc_checker.py` | 在文件中搜索失陷指标 (IoC)（IP、域名、哈希值） | | `blue-team/win_event_triage.py` | 通过相关的事件 ID 对 Windows 安全日志的 CSV 导出文件进行分诊 | `playbooks/` 文件夹包含两个基于 NIST SP 800-61 生命周期的事件响应程序（账户被盗用、端点上的恶意软件）。 ## 要求 - Python 3.8 或更高版本。无需其他要求。 ## 用法 `data/` 中的示例数据可让您立即试用这些脚本。 ``` # SSH 认证日志分析 python blue-team/auth_log_analyzer.py data/sample_auth.log # 使用较低的 brute-force 阈值进行相同分析 python blue-team/auth_log_analyzer.py data/sample_auth.log --threshold 3 # 在日志内搜索 IoCs python blue-team/ioc_checker.py --iocs data/sample_iocs.csv data/sample_auth.log # Windows 安全事件分类 python blue-team/win_event_triage.py data/sample_win_security.csv ``` ## 结构 ``` detection-triage-toolkit/ ├── blue-team/ # the tools ├── data/ # sample data to try them ├── playbooks/ # incident response procedures └── README.md ``` ## 示例数据中隐藏的故事 这三个示例文件从不同角度描述了**同一次攻击**： 来自 `203.0.113.45` 的 SSH 暴力破解成功，Windows 上出现相同的模式 （失败登录 4625 → 成功登录 4624），然后攻击者创建了 持久化账户 (4720)，提升了权限 (4732/4672)，执行了命令 (4688)，最后清除了安全日志 (1102) 以掩盖踪迹。 `ioc_checker` 确认该 IP 已在已知的 IoC 列表中。 攻击链：暴力破解 → 访问 → 持久化账户 → 权限提升 → 执行 → 反取证。 ## 注意事项 - `data/` 中的数据为虚构数据。这些 IP 属于为 文档保留的范围 (RFC 5737)，因此它们不是真实的地址。 - 切勿提交来自真实系统的日志或凭据：请参阅 `.gitignore`。 ## 未来可能的改进 - 输出 JSON 以便与 SIEM 集成。 - 通过 API（例如 AbuseIPDB）自动查询 IP 信誉。 - 支持 journald JSON 日志格式。

标签：Python, 安全运营, 库, 应急响应, 扫描框架, 无后门, 红队行动, 逆向工具