fayazmohmmand/soc-assistant
GitHub: fayazmohmmand/soc-assistant
一款零依赖、完全离线的 Python 桌面级 SOC 辅助工具,提供实时日志检测分析、MITRE ATT&CK 映射、IOC 提取和告警分诊功能。
Stars: 0 | Forks: 0
# AI SOC 助手
由 **FAK Security Labs** 开发,是一款模拟真实分析师工作流的投资组合级 SOC 工具。
## 功能
| 功能 | 描述 |
|---|---|
| **实时日志分析** | 粘贴日志或加载文件 — 22 条检测规则即时触发 |
| **告警分诊仪表板** | 按严重程度排名的告警列表 (CRITICAL / HIGH / MEDIUM / LOW) |
| **MITRE ATT&CK 映射** | 每个告警均映射至具体的战术与技术 |
| **IOC 提取器** | 从任意文本中自动提取 IP、域名、哈希、URL 和 CVE |
| **攻击场景** | 内置勒索软件、暴力破解、内部威胁模拟 |
| **处置建议** | 每个告警的可操作响应步骤 |
| **误报指导** | 提供上下文以避免告警疲劳 |
| **导出** | 将所有告警导出为 JSON |
| **文件分析** | 分析 `.log`、`.txt`、`.csv` 文件 |
## 检测覆盖范围 (22 条规则)
| 战术 | 规则 |
|---|---|
| 初始访问 | 宏/Office 执行、SQL 注入、鱼叉式网络钓鱼 |
| 执行 | PowerShell 编码命令、LOLBins、脚本引擎 |
| 持久化 | 注册表 Run 键、计划任务、服务安装 |
| 凭据访问 | LSASS 转储、暴力破解、SAM 数据库访问 |
| 防御规避 | 禁用 AV/防火墙、日志清除、进程注入 |
| 横向移动 | PsExec/SMB、RDP 移动 |
| 命令与控制 | Cobalt Strike Beacon、DNS 隧道 |
| 数据窃取 | 大量数据传输、DNS 数据外发 |
| 影响 | 勒索软件、卷影副本删除 |
## 快速开始
```
git clone https://github.com/fayazmohmmand/soc-assistant.git
cd soc-assistant
python soc_assistant.py
```
**环境要求:** Python 3.10+ — 仅此而已。无需任何 pip 安装。
## 使用说明
**方式 1 — 演示场景:**
点击 `Ransomware Attack`、`Brute Force` 或 `Insider Threat` 加载真实的攻击日志序列,然后点击 **Analyze**。
**方式 2 — 粘贴日志:**
将任意 Windows 事件日志、Sysmon 日志、IDS 告警或防火墙日志粘贴到输入框中,然后点击 **Analyze**。
**方式 3 — 加载文件:**
点击 `Load File` 直接分析 `.log` 或 `.txt` 文件。
**IOC 提取器:**
切换至 IOC Extractor 标签页,粘贴任意文本(威胁报告、邮件标头、原始日志),即可自动提取所有的 IP、域名、哈希、URL 和 CVE。
## 展示技能
- **SOC 分析**:告警分诊、严重程度分类、误报处理
- **MITRE ATT&CK**:覆盖所有主要战术的技术映射
- **Python GUI**:采用深色主题、多标签页和实时更新的专业 Tkinter 应用
- **检测工程**:涵盖真实攻击模式的 22 条基于正则表达式的检测规则
- **IOC 分析**:多类型 IOC 提取 (IPv4、域名、MD5、SHA256、URL、CVE)
- **威胁情报**:攻击场景模拟(勒索软件、暴力破解、内部威胁)
## FAK Security Labs 投资组合的一部分
- **项目 1** — 攻击面管理平台:[github.com/fayazmohmmand/asm-platform](https://github.com/fayazmohmmand/asm-platform)
- **项目 2** — 威胁情报平台:[github.com/fayazmohmmand/threat-intel-platform](https://github.com/fayazmohmmand/threat-intel-platform)
- **项目 3** — AI SOC 助手 *(本仓库)*
## 法律免责声明
## 作者
**Fayaz Ahmad Khan** — FAK Security Labs
CEH | ISC2 CC | BS Cybersecurity @ AWKUM
[GitHub](https://github.com/fayazmohmmand) · [LinkedIn](https://linkedin.com/in/fayazkhan)
标签:CISA项目, IP 地址批量处理, PE 加载器, Python, 安全运营, 扫描框架, 无后门, 桌面应用, 逆向工具