fayazmohmmand/soc-assistant

GitHub: fayazmohmmand/soc-assistant

一款零依赖、完全离线的 Python 桌面级 SOC 辅助工具,提供实时日志检测分析、MITRE ATT&CK 映射、IOC 提取和告警分诊功能。

Stars: 0 | Forks: 0

# AI SOC 助手 由 **FAK Security Labs** 开发,是一款模拟真实分析师工作流的投资组合级 SOC 工具。 ## 功能 | 功能 | 描述 | |---|---| | **实时日志分析** | 粘贴日志或加载文件 — 22 条检测规则即时触发 | | **告警分诊仪表板** | 按严重程度排名的告警列表 (CRITICAL / HIGH / MEDIUM / LOW) | | **MITRE ATT&CK 映射** | 每个告警均映射至具体的战术与技术 | | **IOC 提取器** | 从任意文本中自动提取 IP、域名、哈希、URL 和 CVE | | **攻击场景** | 内置勒索软件、暴力破解、内部威胁模拟 | | **处置建议** | 每个告警的可操作响应步骤 | | **误报指导** | 提供上下文以避免告警疲劳 | | **导出** | 将所有告警导出为 JSON | | **文件分析** | 分析 `.log`、`.txt`、`.csv` 文件 | ## 检测覆盖范围 (22 条规则) | 战术 | 规则 | |---|---| | 初始访问 | 宏/Office 执行、SQL 注入、鱼叉式网络钓鱼 | | 执行 | PowerShell 编码命令、LOLBins、脚本引擎 | | 持久化 | 注册表 Run 键、计划任务、服务安装 | | 凭据访问 | LSASS 转储、暴力破解、SAM 数据库访问 | | 防御规避 | 禁用 AV/防火墙、日志清除、进程注入 | | 横向移动 | PsExec/SMB、RDP 移动 | | 命令与控制 | Cobalt Strike Beacon、DNS 隧道 | | 数据窃取 | 大量数据传输、DNS 数据外发 | | 影响 | 勒索软件、卷影副本删除 | ## 快速开始 ``` git clone https://github.com/fayazmohmmand/soc-assistant.git cd soc-assistant python soc_assistant.py ``` **环境要求:** Python 3.10+ — 仅此而已。无需任何 pip 安装。 ## 使用说明 **方式 1 — 演示场景:** 点击 `Ransomware Attack`、`Brute Force` 或 `Insider Threat` 加载真实的攻击日志序列,然后点击 **Analyze**。 **方式 2 — 粘贴日志:** 将任意 Windows 事件日志、Sysmon 日志、IDS 告警或防火墙日志粘贴到输入框中,然后点击 **Analyze**。 **方式 3 — 加载文件:** 点击 `Load File` 直接分析 `.log` 或 `.txt` 文件。 **IOC 提取器:** 切换至 IOC Extractor 标签页,粘贴任意文本(威胁报告、邮件标头、原始日志),即可自动提取所有的 IP、域名、哈希、URL 和 CVE。 ## 展示技能 - **SOC 分析**:告警分诊、严重程度分类、误报处理 - **MITRE ATT&CK**:覆盖所有主要战术的技术映射 - **Python GUI**:采用深色主题、多标签页和实时更新的专业 Tkinter 应用 - **检测工程**:涵盖真实攻击模式的 22 条基于正则表达式的检测规则 - **IOC 分析**:多类型 IOC 提取 (IPv4、域名、MD5、SHA256、URL、CVE) - **威胁情报**:攻击场景模拟(勒索软件、暴力破解、内部威胁) ## FAK Security Labs 投资组合的一部分 - **项目 1** — 攻击面管理平台:[github.com/fayazmohmmand/asm-platform](https://github.com/fayazmohmmand/asm-platform) - **项目 2** — 威胁情报平台:[github.com/fayazmohmmand/threat-intel-platform](https://github.com/fayazmohmmand/threat-intel-platform) - **项目 3** — AI SOC 助手 *(本仓库)* ## 法律免责声明 ## 作者 **Fayaz Ahmad Khan** — FAK Security Labs CEH | ISC2 CC | BS Cybersecurity @ AWKUM [GitHub](https://github.com/fayazmohmmand) · [LinkedIn](https://linkedin.com/in/fayazkhan)
标签:CISA项目, IP 地址批量处理, PE 加载器, Python, 安全运营, 扫描框架, 无后门, 桌面应用, 逆向工具