code-name-E/ShieldGuard-Analytics
GitHub: code-name-E/ShieldGuard-Analytics
一款自动化企业内部威胁评估后端引擎,负责摄取 SIEM 日志、解析安全事件、计算员工风险评分并触发 SOAR 自动化补救剧本。
Stars: 0 | Forks: 0
# ShieldGuard Analytics — 企业内部威胁与行为 SIEM 摄取引擎
一个自动化的后端安全遥测解析与评估引擎,旨在摄取、处理和分析内部威胁事件日志。ShieldGuard Analytics 会追踪企业安全违规行为——例如网络钓鱼演练失败、主机工作站超时合规违规以及未经授权的资源访问尝试(403 Forbidden 异常)——以动态计算实时的员工风险系数,并触发自动化的 SOAR 补救任务。
## 🛠️ 安全工程架构
* **关系型安全账本 (SQLite)**:跨结构化表(`employees`、`security_rules` 和 `incident_logs`)制定企业遥测追踪 schema,并强制执行严格的外键约束。
* **动态风险评分演算**:在插入日志时自动查询历史事件积分汇总,以更新跨特定风险边界(`Low`、`Medium`、`High`、`Critical`)的员工企业主档案。
* **自动化 SOAR 编排剧本**:模拟标准的 SOAR(安全编排、自动化与响应)pipeline,在违反高风险阈值时自动派发安全意识课程任务。
* **遥测事件日志解析器**:实现字符串序列化和 token 社区清理逻辑,逐行消化非结构化的 SIEM 扁平文件导出日志。
## 📁 仓库目录结构
```
ShieldGuard-Analytics/
│
├── data/
│ ├── shieldguard.db # Created dynamically at runtime by database.py
│ └── SIEM_export.log # Raw log export telemetry target file
│
├── src/
│ ├── __init__.py # Python package initializer
│ ├── database.py # SQLite connection manager and schema initialization loops
│ ├── models.py # Object-oriented entity class structures
│ ├── analyzer.py # Cumulative point math and evaluation algorithms
│ ├── parser.py # Log engine deserializer
│ └── soar.py # Mitigation orchestrator and training gateway
│
├── init_db.sql # Relational database schema layout blueprint
├── test_run.py # Main system integration validation suite
└── .gitignore # Excludes local binary runtime database footprints
```
标签:Python, SIEM日志解析, SQLite, 内部威胁评估, 无后门, 逆向工具