gnaixnaij/soc-triage
GitHub: gnaixnaij/soc-triage
一款面向应急响应场景的 Linux 主机快速分诊工具,自动收集系统状态信息以辅助入侵评估。
Stars: 0 | Forks: 0
# soc-triage
用于应急响应的快速主机分诊工具包。收集系统状态信息以进行初步入侵评估。
## 检查内容
| 部分 | 收集的数据 |
|---------|---------------|
| 主机信息 | 主机名、OS、内核、运行时间 |
| 监听端口 | 所有带有进程的 TCP 监听端口 |
| 已建立的连接 | 活动的出站连接 |
| 可疑进程 | 反向 shell、netcat、挖矿程序 |
| 最近的登录 | 最后 20 条登录记录 |
| SUID 二进制文件 | 设置了 setuid 位的二进制文件 |
| Cron 作业 | 用户和系统的计划任务 |
## 用法
```
# 仅终端输出
python3 soc_triage.py
# 保存报告 + 归档
python3 soc_triage.py -o ./reports
# Watch mode — 每 N 秒监控一次变化
python3 soc_triage.py -w 60
# JSON 输出(用于自动化 / SIEM 集成)
python3 soc_triage.py --json
# 保存报告并输出 JSON
python3 soc_triage.py -o ./reports --json
# 带 JSON 输出的 Watch mode
python3 soc_triage.py -w 300 --json -o ./monitor
```
## 输出
- **终端:** 颜色编码的输出,用于快速可视化分诊
- **JSON:** 结构化数据,用于自动化、SIEM 摄入或进一步处理
- **文件:** 每个部分的独立 `.txt` 报告 + 用于提取的 `.tar.gz` 归档文件
## JSON 输出示例
```
{
"timestamp": "2026-06-29 22:50:27",
"host_info": {
"hostname": "kali",
"os": "Kali GNU/Linux Rolling",
"kernel": "6.18.12+kali-amd64",
"uptime": "up 2 hours, 1 minute"
},
"listening_ports": [
{"address": "127.0.0.1:11434", "process": ""},
{"address": "0.0.0.0:22", "process": "sshd"}
],
"suid_binaries": ["/usr/bin/sudo", "/usr/bin/passwd", "..."]
}
```
## 使用场景
专为需要快速获取潜在受损 Linux 主机快照的 SOC 分析师和应急响应人员设计。运行它,获取归档文件,然后进行离线分析。
## 要求
- Python 3.6+
- 带有 `ss`、`ps`、`last`、`find`、`crontab` 的 Linux
## 支持
如果此工具对您的 IR 工作有帮助,请[请我喝杯咖啡](https://ko-fi.com/gnaixnaij)。
## 许可证
MIT
标签:IP 地址批量处理, PB级数据处理, Python, Web报告查看器, 主机取证, 安全运维, 安全运营(SOC), 库, 应急响应, 无后门, 系统巡检, 逆向工具