Eng-Ibrahim-Mohamed/Windows-Event-Security-Analyzer

GitHub: Eng-Ibrahim-Mohamed/Windows-Event-Security-Analyzer

基于 Python 的蓝队日志分析工具,用于解析 Windows 安全事件日志、检测暴力破解等身份验证威胁并自动生成安全报告。

Stars: 0 | Forks: 0

Windows Event Security Analyzer Banner

🛡️ Windows Event Security Analyzer

一个基于 Python 的蓝队工具,用于分析 Windows 安全事件日志,检测可疑的身份验证活动,并生成专业的安全报告。

![Python](https://img.shields.io/badge/Python-3.13-blue?style=for-the-badge&logo=python) ![Platform](https://img.shields.io/badge/Platform-Windows-0078D6?style=for-the-badge&logo=windows) ![License](https://img.shields.io/badge/License-MIT-success?style=for-the-badge) ![Version](https://img.shields.io/badge/Version-v1.1-orange?style=for-the-badge) ![Blue Team](https://img.shields.io/badge/Blue-Team-red?style=for-the-badge) ![Status](https://img.shields.io/badge/Status-Stable-brightgreen?style=for-the-badge)

# 📖 概述 **Windows Event Security Analyzer** 是一个基于 Python 的网络安全项目,它可以直接从 Windows 事件查看器读取 **Windows 安全事件日志**,并分析与身份验证相关的事件。 该工具能够检测诸如暴力破解等可疑活动,汇总身份验证统计数据,生成安全警报,并为蓝队调查提供可操作的建议。 构建此项目旨在展示以下方面的实践知识: - Windows 事件日志 - 蓝队行动 - 检测工程 - 安全监控 - Python 自动化 - SOC 基础知识 # ✨ 功能 - 🔍 读取 Windows 安全事件日志 - 🚫 检测失败的登录尝试 (Event ID 4625) - ✅ 检测成功的登录 (Event ID 4624) - 👑 检测特权登录 (Event ID 4672) - 🚨 暴力破解检测 - ⚠️ 警报引擎 - 📊 执行摘要 - 💡 安全建议 - 📄 专业报告生成 - 🏗️ 模块化项目架构 # 📸 截图 创建一个名为以下内容的文件夹: ``` assets/ ``` 将你的报告截图放入其中: ``` assets/dashboard.png ``` 然后启用此图像: ``` ![Dashboard](https://raw.githubusercontent.com/Eng-Ibrahim-Mohamed/Windows-Event-Security-Analyzer/main/assets/dashboard.png) ``` # 🏗️ 架构 ``` Windows Event Viewer │ ▼ event_reader.py │ ▼ detections.py │ ▼ alerts.py │ ▼ recommendations.py │ ▼ report_generator.py │ ▼ Security Report ``` # 📂 项目结构 ``` Windows-Event-Security-Analyzer │ ├── assets │ ├── banner.png │ └── dashboard.png │ ├── analyzer.py ├── event_reader.py ├── detections.py ├── alerts.py ├── recommendations.py ├── report_generator.py │ ├── tests │ ├── event_test.py │ ├── extract_user.py │ └── success_test.py │ ├── requirements.txt ├── README.md ├── LICENSE └── .gitignore ``` # 🚀 安装说明 克隆仓库 ``` git clone https://github.com/Eng-Ibrahim-Mohamed/Windows-Event-Security-Analyzer.git ``` 进入项目 ``` cd Windows-Event-Security-Analyzer ``` 安装依赖 ``` pip install -r requirements.txt ``` # ▶ 用法 运行分析器 ``` python analyzer.py ``` # 📄 示例报告 ``` ================================================== WINDOWS SECURITY REPORT Version 1.1 ================================================== EXECUTIVE SUMMARY Overall Risk : HIGH Events Analysed : 199 Alerts Generated : 1 ================================================== SECURITY STATISTICS Failed Logins : 3 Successful Logins : 98 Admin Logins : 98 ================================================== SECURITY ALERTS [HIGH] BRUTE FORCE DETECTED Target User : AL-MOMEN Source IP : 127.0.0.1 Attempts : 3 Status : OPEN ================================================== RECOMMENDATIONS • Review failed login attempts. • Verify affected user credentials. • Enable Account Lockout Policy. • Review Windows Security Logs. ``` # 🔍 检测规则 当前的检测能力: - 失败登录检测 - 成功登录检测 - 特权登录检测 - 暴力破解检测 未来版本将包含额外的检测规则。 # 🛠️ 使用的技术 - Python - pywin32 - Windows 事件日志 - Windows 安全 - 蓝队概念 # 🎯 学习目标 本项目展示了对以下方面的实践经验: - Windows 身份验证事件 - Windows 安全日志 - 日志分析 - 检测工程 - 事件检测 - 蓝队方法论 - SOC 监控 - Python 安全自动化 # 🗺️ 路线图 ## ✅ 版本 1.1 - Windows 事件读取器 - 检测引擎 - 警报引擎 - 执行摘要 - 建议引擎 - 专业安全报告 ## 🚀 版本 1.2 - 攻击时间线 - 风险评分 - 增强的检测规则 ## 🚀 版本 1.3 - JSON 导出 - PDF 报告 ## 🚀 版本 1.4 - HTML 仪表板 - 交互式图表 ## 🚀 版本 2.0 - 实时监控 - Sigma 规则支持 - IOC 检测 - 多日志来源 - 实时告警 # 👨‍💻 作者 **Ibrahim Mohamed** 网络安全学生 GitHub: https://github.com/Eng-Ibrahim-Mohamed # 📜 许可证 本项目基于 MIT 许可证授权。 # ⭐ 支持 如果你喜欢这个项目,请考虑在 GitHub 上给它一个 ⭐。 这有助于支持未来的开发,并鼓励推出更多网络安全开源项目。
标签:Python, Windows事件日志, 无后门, 红队行动, 逆向工具