ryuyunseong/incident-response-analysis-lab

GitHub: ryuyunseong/incident-response-analysis-lab

基于合成认证日志的安全事件响应分析自动化 CLI 工具,能从日志中提取时间线、IOC、原因候选和响应建议并生成报告。

Stars: 0 | Forks: 0

# 事件响应分析 lab 这是一个安全事件原因分析自动化实验室。该仓库旨在开发一款 Python CLI 工具,基于合成的样本日志生成事件时间线、IOC、原因候选、响应方案和报告。 当前阶段提供了基础的分析流程,以合成的 Linux auth 日志作为输入,生成标准化事件、时间线、IOC、候选 finding、原因候选、响应建议以及 Markdown/HTML 报告。 ## 作品集提交摘要 本项目是一个个人实验室,旨在通过公开的作品集展示防御性事件分析自动化、日志标准化、基于证据的报告生成以及测试/文档化能力。仅使用合成数据,不包含任何真实的运营日志或真实密钥。 - [作品集摘要](PORTFOLIO.md) - [发布前检查清单](docs/public-release-checklist.md) - [演示脚本](docs/demo-script.md) ## 安全范围 - 仅供防御性事件分析使用。 - 不包含真实的攻击代码、恶意软件、凭据窃取逻辑、持久化 payload 或破坏性命令。 - 样本数据仅使用合成数据。 - 测试期间不会进行外部网络调用。 - 事件结论必须始终包含证据事件 ID 和不确定性注释。 ## 本地设置 ``` pip install -e ".[dev]" ``` ## 运行 ``` ir-lab --help ir-lab --version ir-lab info ``` 目前实现的命令是 `ir-lab info` 和用于分析合成样本的 `ir-lab analyze`。 ``` ir-lab analyze data/sample_incidents/brute_force_case --out out/brute_force ``` 上述命令会解析合成 `auth.log` 并生成以下文件。 - `events.json`: 标准化后的 `Event` 列表 - `timeline.json`: 按时间顺序排列的事件时间线 - `iocs.json`: 需要进一步确认的 IOC 候选及证据事件 ID - `findings.json`: 基于合成证据的候选 finding 及 ATT&CK 映射 - `likely_root_causes.json`: 需要验证的原因候选及预防复发注释 - `response_recommendations.json`: 与候选 finding 和原因候选相关联的响应建议 - `incident_report.md`: 供客户审查的 Markdown 事件分析报告 - `incident_report.html`: 无需外部资源的 standalone HTML 事件分析报告 finding、原因候选、响应建议和报告都是基于合成日志证据得出的候选结论。它们无法确证真实的安全违规或账户被盗,且每一项都包含证据事件 ID 和不确定性注释。在应用于生产环境或正式提交之前,响应建议和报告内容必须经过人工验证。 ## 验证 ``` pytest ruff check . ruff format --check . ``` ## 文档 - [作品集摘要](PORTFOLIO.md) - [发布前检查清单](docs/public-release-checklist.md) - [通用事件 schema](docs/event_schema.md) - [最终验证结果](docs/final-validation.md) - [发布准备状态](docs/release-readiness.md) - [演示脚本](docs/demo-script.md) ## 合成样本与解析器 `data/sample_incidents/brute_force_case/auth.log` 是一个合成的 Linux auth 日志,包含了连续多次 SSH 登录失败后紧接登录成功的记录。`ir_lab.ingest.linux_auth.parse_linux_auth_file()` 会将支持的 SSH 认证日志行标准化为通用的 `Event` 对象,并安全地忽略不支持的日志行。 ## 开发路线图 1. 添加通用事件 schema 和样本日志结构。 2. 实现 Apache/Nginx/auth.log/WAF CSV 解析器。 3. 实现时间线排序和 IOC 提取。 4. 实现基于规则的原因分析与 MITRE ATT&CK 映射。 5. 实现应对方案建议和 Markdown/HTML 报告生成。
标签:Python, 威胁情报, 安全规则引擎, 安全运营, 开发者工具, 扫描框架, 文档结构分析, 无后门, 自动化分析, 跨站脚本, 逆向工具