ryuyunseong/incident-response-analysis-lab
GitHub: ryuyunseong/incident-response-analysis-lab
基于合成认证日志的安全事件响应分析自动化 CLI 工具,能从日志中提取时间线、IOC、原因候选和响应建议并生成报告。
Stars: 0 | Forks: 0
# 事件响应分析 lab
这是一个安全事件原因分析自动化实验室。该仓库旨在开发一款 Python CLI 工具,基于合成的样本日志生成事件时间线、IOC、原因候选、响应方案和报告。
当前阶段提供了基础的分析流程,以合成的 Linux auth 日志作为输入,生成标准化事件、时间线、IOC、候选 finding、原因候选、响应建议以及 Markdown/HTML 报告。
## 作品集提交摘要
本项目是一个个人实验室,旨在通过公开的作品集展示防御性事件分析自动化、日志标准化、基于证据的报告生成以及测试/文档化能力。仅使用合成数据,不包含任何真实的运营日志或真实密钥。
- [作品集摘要](PORTFOLIO.md)
- [发布前检查清单](docs/public-release-checklist.md)
- [演示脚本](docs/demo-script.md)
## 安全范围
- 仅供防御性事件分析使用。
- 不包含真实的攻击代码、恶意软件、凭据窃取逻辑、持久化 payload 或破坏性命令。
- 样本数据仅使用合成数据。
- 测试期间不会进行外部网络调用。
- 事件结论必须始终包含证据事件 ID 和不确定性注释。
## 本地设置
```
pip install -e ".[dev]"
```
## 运行
```
ir-lab --help
ir-lab --version
ir-lab info
```
目前实现的命令是 `ir-lab info` 和用于分析合成样本的 `ir-lab analyze`。
```
ir-lab analyze data/sample_incidents/brute_force_case --out out/brute_force
```
上述命令会解析合成 `auth.log` 并生成以下文件。
- `events.json`: 标准化后的 `Event` 列表
- `timeline.json`: 按时间顺序排列的事件时间线
- `iocs.json`: 需要进一步确认的 IOC 候选及证据事件 ID
- `findings.json`: 基于合成证据的候选 finding 及 ATT&CK 映射
- `likely_root_causes.json`: 需要验证的原因候选及预防复发注释
- `response_recommendations.json`: 与候选 finding 和原因候选相关联的响应建议
- `incident_report.md`: 供客户审查的 Markdown 事件分析报告
- `incident_report.html`: 无需外部资源的 standalone HTML 事件分析报告
finding、原因候选、响应建议和报告都是基于合成日志证据得出的候选结论。它们无法确证真实的安全违规或账户被盗,且每一项都包含证据事件 ID 和不确定性注释。在应用于生产环境或正式提交之前,响应建议和报告内容必须经过人工验证。
## 验证
```
pytest
ruff check .
ruff format --check .
```
## 文档
- [作品集摘要](PORTFOLIO.md)
- [发布前检查清单](docs/public-release-checklist.md)
- [通用事件 schema](docs/event_schema.md)
- [最终验证结果](docs/final-validation.md)
- [发布准备状态](docs/release-readiness.md)
- [演示脚本](docs/demo-script.md)
## 合成样本与解析器
`data/sample_incidents/brute_force_case/auth.log` 是一个合成的 Linux auth 日志,包含了连续多次 SSH 登录失败后紧接登录成功的记录。`ir_lab.ingest.linux_auth.parse_linux_auth_file()` 会将支持的 SSH 认证日志行标准化为通用的 `Event` 对象,并安全地忽略不支持的日志行。
## 开发路线图
1. 添加通用事件 schema 和样本日志结构。
2. 实现 Apache/Nginx/auth.log/WAF CSV 解析器。
3. 实现时间线排序和 IOC 提取。
4. 实现基于规则的原因分析与 MITRE ATT&CK 映射。
5. 实现应对方案建议和 Markdown/HTML 报告生成。
标签:Python, 威胁情报, 安全规则引擎, 安全运营, 开发者工具, 扫描框架, 文档结构分析, 无后门, 自动化分析, 跨站脚本, 逆向工具