Projeto Prático de Blue Team: Análise de Logs SSH com Python

Logs de autenticação Linux podem fornecer um sinal útil sobre o início potencial de uma violação. O autor desta publicação desenvolveu um script de análise de logs que utiliza regexes para fazer o parsing do auth.log. Em seguida, ele emprega múltiplos motores de detecção para identificar tentativas de força bruta, bloqueios de contas, logins bem-sucedidos após falhas e mudanças de IP entre a captura e o sucesso. Essas detecções recebem uma pontuação ponderada, são desduplicadas, marcadas com táticas relevantes do MITRE ATT&CK e exportadas para JSON para consumo por um SIEM.