code-name-E/ShieldGuard-Analytics

GitHub: code-name-E/ShieldGuard-Analytics

一款自动化企业内部威胁评估后端引擎,负责摄取 SIEM 日志、解析安全事件、计算员工风险评分并触发 SOAR 自动化补救剧本。

Stars: 0 | Forks: 0

# ShieldGuard Analytics — 企业内部威胁与行为 SIEM 摄取引擎 一个自动化的后端安全遥测解析与评估引擎,旨在摄取、处理和分析内部威胁事件日志。ShieldGuard Analytics 会追踪企业安全违规行为——例如网络钓鱼演练失败、主机工作站超时合规违规以及未经授权的资源访问尝试(403 Forbidden 异常)——以动态计算实时的员工风险系数,并触发自动化的 SOAR 补救任务。 ## 🛠️ 安全工程架构 * **关系型安全账本 (SQLite)**:跨结构化表(`employees`、`security_rules` 和 `incident_logs`)制定企业遥测追踪 schema,并强制执行严格的外键约束。 * **动态风险评分演算**:在插入日志时自动查询历史事件积分汇总,以更新跨特定风险边界(`Low`、`Medium`、`High`、`Critical`)的员工企业主档案。 * **自动化 SOAR 编排剧本**:模拟标准的 SOAR(安全编排、自动化与响应)pipeline,在违反高风险阈值时自动派发安全意识课程任务。 * **遥测事件日志解析器**:实现字符串序列化和 token 社区清理逻辑,逐行消化非结构化的 SIEM 扁平文件导出日志。 ## 📁 仓库目录结构 ``` ShieldGuard-Analytics/ │ ├── data/ │ ├── shieldguard.db # Created dynamically at runtime by database.py │ └── SIEM_export.log # Raw log export telemetry target file │ ├── src/ │ ├── __init__.py # Python package initializer │ ├── database.py # SQLite connection manager and schema initialization loops │ ├── models.py # Object-oriented entity class structures │ ├── analyzer.py # Cumulative point math and evaluation algorithms │ ├── parser.py # Log engine deserializer │ └── soar.py # Mitigation orchestrator and training gateway │ ├── init_db.sql # Relational database schema layout blueprint ├── test_run.py # Main system integration validation suite └── .gitignore # Excludes local binary runtime database footprints ```
标签:Python, SIEM日志解析, SQLite, 内部威胁评估, 无后门, 逆向工具