bbougot/Sonar

# Sonar：实时异常检测工具 **Sonar** 是一款高性能安全监控工具，旨在利用广泛的 **[Sigma](https://sigmahq.io/)** 规则集实时扫描 Windows 事件日志。 ## 功能特性 - **实时性：** 与传统的批处理工具不同，Sonar 会在事件日志生成时即时监控，从而最大限度地减少“检测盲区”。 - **广泛的规则集：** 利用了 Yamato Security 经过实战检验的 [Hayabusa rules](https://github.com/Yamato-Security/hayabusa-rules)。规则提取自 [这里](https://github.com/Yamato-Security/hayabusa-rules/tree/main/sigma/builtin) 和 [那里](https://github.com/Yamato-Security/hayabusa-rules/tree/main/hayabusa/builtin)。 - **轻量级：** 7MB 大小的可执行文件，无依赖项。 - **离线支持：** 专为物理隔离（air-gapped）环境设计。 - **导出功能：** 支持按规则名称、严重程度、关键字查询检测结果，并将其导出为 JSON 文件。 ## 快速开始 ### 前置条件 - Windows 8.1+ 或 Windows Server 2012 R2+。 - （可选/推荐）需要管理员权限以读取安全日志。 ### 使用说明 1. 在[此处](https://github.com/bbougot/Sonar/releases)下载 Sonar。 2. 运行 Sonar.exe 并选择要使用的 Sigma 配置文件： - Core：高质量规则，不太可能产生误报。 - Core+：可能会无意中匹配合法应用程序的规则。 - Core++：旨在尽早检测威胁的规则，但这会导致较高数量的误报。 ## 快捷键 | 按键 | 操作 | |-----|--------| | `E` | 导出检测结果（按规则名称、严重程度和关键字） | | `S` | 显示检测统计数据（按计算机、随时间变化的计数、按严重程度排名的热门规则） | | `H` | 帮助 |

标签：AMSI绕过, EDR, Hayabusa, PE 加载器, Sigma规则, Windows事件日志, 威胁检测, 实时扫描, 异常检测, 目标导入, 离线安全, 端点安全, 系统运维, 红队检测, 网络安全, 脆弱性评估, 补丁管理, 速率限制, 隐私保护