HawkinsOps/HawkinsOperations

# HawkinsOperations [](https://github.com/HawkinsOps/HawkinsOperations/actions) [](/LICENSE) [](https://hawkinsops.com) [](https://linkedin.com/in/raylee-hawkins) **[Live site](https://hawkinsops.com)** | **[Proof pack](/PROOF_PACK/VERIFIED_COUNTS.md)** | **[Case studies](#case-studies)** | **[Start here for recruiters](/START_HERE.md)** ## 这是什么 运行在自托管基础设施上的实时检测与分流流水线。AutoSOC 引擎从 10 个代理的部署中摄取 Wazuh 告警，执行基于策略的分流，脱敏敏感字段，并将升级包组装为可复现的证明制品。 此仓库包含检测内容、IR 剧本、操作案例研究、证明制品，以及确保所有统计数据真实的验证基础设施。 **如果这个仓库里有数字，说明有脚本验证过它。** ## 我是如何构建的 我在 2025 年 9 月从零计算机经验起步。这个仓库中的所有内容都是在不到 7 个月内构建的，同时还要进行强制性的 12 小时轮班工作。 我使用 AI 作为执行层，而不是判断力的替代品。Claude Code、Codex、ChatGPT 和 Gemini 是我的构建工具，就像开发者使用 IDE 和 Stack Overflow 一样。我负责架构决策，验证输出，在多个 AI 系统之间交叉检查结果，并不断迭代，直到系统在真实操作约束下表现出可预测的行为。 该方法——通过 AI 工具进行的递归问题分解——已在 [作品集网站](https://hawkinsops.com) 上详细记录。 ## 已验证清单 事实来源：[`PROOF_PACK/VERIFIED_COUNTS.md`](/PROOF_PACK/VERIFIED_COUNTS.md) —— 由脚本生成，而非自行报告。 | 类别 | 数量 | 位置 | | --- | --- | --- | | Sigma 规则 (YAML) | 103 | `content/detection-rules/sigma/` | | Wazuh 规则 (XML) | 24 个文件 / 28 个规则块 | `content/detection-rules/wazuh/rules/` | | Splunk 检测搜索 (SPL) | 9 个文件 / 79 个搜索 | `content/detection-rules/splunk/` | | IR 剧本 | 10 | `content/incident-response/playbooks/` | | MITRE ATT&CK 覆盖 | 123 个技术/子技术 ID | 涵盖 69 个系列 —— 由 [`verify-mitre.ps1`](/scripts/verify/verify-mitre.ps1) 验证，来源见 [`VERIFIED_MITRE.csv`](/PROOF_PACK/VERIFIED_MITRE.csv) | | 升级包 | 8,574 | 4 月 7 日锁定快照（共 324,074 个案例，自动关闭率 ~88%） | ## 从这里开始 | 如果你是... | 前往 | 你将获得 | | --- | --- | --- | | **招聘人员 / 招聘经理** | [`START_HERE.md`](/START_HERE.md) | 证明通道 —— 5 分钟内验证声明 | | **技术审核员** | [`PROOF_PACK/VERIFIED_COUNTS.md`](/PROOF_PACK/VERIFIED_COUNTS.md) | 脚本生成的计数、确切文件位置、可复现 | | **检测工程师** | [`content/detection-rules/INDEX.md`](/content/detection-rules/INDEX.md) | Sigma + Wazuh + Splunk，按 MITRE 战术组织 | | **事件响应人员** | [`content/incident-response/INDEX.md`](/content/incident-response/INDEX.md) | 10 个剧本，7 步格式 | | **引擎 / 流水线审核员** | [`docs/execution/AUTOSOC_OPERATIONS_RUNBOOK_03-02-2026.md`](/docs/execution/AUTOSOC_OPERATIONS_RUNBOOK_03-02-2026.md) | 架构、调度器配置、故障剧本 | ## 案例研究 记录了完整上下文的精选工程挑战： - **[Wazuh Windows 遥测修复](/content/case-studies/wazuh-telemetry-remediation.md)** —— 在 10 个代理的部署中，分三个阶段恢复进程创建可见性。诊断了三个独立的故障（阈值不匹配、损坏的索引器流水线、未配置的 Sysmon）。从零进程创建告警到索引了 2,120+ 个 Security 4688 和 143 个 Sysmon EID 1 事件，并包含完整遥测。 - **检测逻辑优化冲刺** —— 分析 328K 告警积压，在 8 个 SPL 文件中添加了 23 个针对性排除，覆盖 10 个 MITRE ATT&CK 战术。未移除任何技术覆盖。 - **TOCTOU 竞态条件** —— 在 `enforce_queue_cap()` 中诊断出 505K 的队列深度。4 站点防御性补丁，28/28 测试通过，零数据丢失。 - **AutoSOC 流水线恢复** —— 因过期的 Wazuh Indexer 密码 + 错误配置的计划任务导致长达 6 天的停机。完全恢复并处理 ~1.1M 告警积压。 - **企业安全加固** —— 加固 27 个审计子类别，新增 11 个 MITRE 技术检测，60 子类别 Microsoft Security Baseline 对比（零回归，12 项设置超出基线）。 - **MCP Stack 构建** —— 在 Windows 原生（PowerShell 7）上构建 15 服务器 Model Context Protocol 栈，包括从零用 TypeScript 构建的自定义 Wazuh MCP 服务器。 ## Wazuh 部署 单节点部署（manager + indexer + dashboard），管理 10 个分布在 Windows 和 Linux 主机上的代理。近期工作（2026 年 4 月）恢复了完整的 Windows 进程创建可见性： - **诊断并修复了三个独立的故障：** 告警级别阈值静默丢弃事件、安全配置重置导致的 manager 到 index 流水线断连、以及 Sysmon 在无配置文件的情况下运行 - **修复前：** 从未索引过任何 Security 4688 告警和 Sysmon EID 1 事件 —— 部署看似健康，但对进程创建视而不见 - **修复后：** 索引了 2,120+ 个 Security 4688 告警和 143 个 Sysmon EID 1 事件，包含完整遥测（进程映像、命令行、父进程、用户上下文） - **检测调优冲刺：** 在 8 个 Splunk SPL 文件中添加了 23 个排除项。未移除任何 MITRE 技术覆盖 —— 所有排除项仅限于特定工具路径和进程上下文，而非行为类别 ## 基础设施 自托管 Proxmox 集群：双路 Xeon E5-2697 v4，72 核心，2TB 内存，约 96TB 存储。 | VM | 角色 | | --- | --- | | HO-FILESERVER-01 | 规范存储权威（Z: 盘） | | HO-RUNNER-01 | GitHub Actions 自托管 runner | | Wazuh 集群 | Manager + Indexer + Dashboard（10 个代理） | | Splunk | 威胁狩猎 + SPL 检测 | | Grafana | 流水线监控仪表板 | | Honeypot | 面向外部的遥测源 | | AD Domain Controller | Windows 域实验室环境 | 完整基础设施详情：[`PROOF_PACK/ARCHITECTURE.md`](/PROOF_PACK/ARCHITECTURE.md) ## 范围与声明上限 这是一个家庭实验室 / 自托管环境，并非企业 SOC。 - **CI 验证的清单计数**（Sigma、Wazuh、Splunk、IR 剧本）由脚本生成且可复现。这些是本仓库中最有力的证据。 - **操作遥测数据**（案例计数、自动关闭率、升级量）来自单人操作流水线的自行报告。请酌情采信。 - **直接经验：** Sigma 规则编写、流水线自动化、Wazuh 部署与调优（包括三阶段遥测修复）、Splunk 检测逻辑优化、实验室调查、验证/对账工程。 - **仅概念重叠：** Cribl、Torq、Exabeam、企业级 Splunk 运维。无这些工具的生产环境经验。 ## 仓库地图 | 区域 | 内容 | | --- | --- | | `PROOF_PACK/` | 已验证计数、示例制品、证据检查清单、脱敏规则 | | `content/detection-rules/` | Sigma + Splunk + Wazuh XML，按 MITRE 战术组织 | | `content/incident-response/` | 10 个 IR 剧本 + 模板 + 流水线生成的事件包 | | `content/case-studies/` | 重大工程挑战的详细记录 | | `docs/` | 运维手册、调优日志、变更控制、架构文档 | | `site/` | 静态作品集网站源码（Cloudflare Pages） | | `scripts/` | 验证、打包构建器、网站生成器、漂移扫描 | | `.github/` | CI 工作流：verify、drift-scan、update-site-data、deploy-wazuh-pack、autosoc-pipeline、publish-contract、public-safety-gate | ## 流水线架构 ``` Wazuh Manager (10 agents, live alerts) | |-- SignalFoundry engine (poll -> triage -> redact -> pack) | | | '-- content/incident-response/incidents/YYYY/ (repo-staged packs) | '-- GitHub Issues (auto-created on pipeline failure, auto-closed on recovery) content/detection-rules/* content/incident-response/playbooks/* | | |-- verify-counts.ps1 -----------------' |-- generate-verified-counts.ps1 --> PROOF_PACK/VERIFIED_COUNTS.md |-- build-wazuh-bundle.ps1 --> dist/wazuh/local_rules.xml content/projects.json + content/detections.json |-- generate-site-content.js --> site/assets/data/*.json '-- portfolio-data.js --> rendered listings + filters proof/autosoc/latest/*.json + PROOF_PACK/verified_counts.json |-- generate-metrics.js --> data/metrics.json PROOF_PACK/VERIFIED_COUNTS.md |-- generate-site-data.js --> site/assets/verified-counts.json '-- drift_scan.py --> fail on markdown/json/site count drift ``` ## 验证 在仓库根目录运行（PowerShell）： ``` pwsh -NoProfile -File ".\scripts\verify\verify-counts.ps1" pwsh -NoProfile -File ".\scripts\verify\generate-verified-counts.ps1" -OutFile ".\PROOF_PACK\VERIFIED_COUNTS.md" node .\scripts\generate-metrics.js python .\scripts\drift_scan.py --refresh ``` 预期结果：`PROOF_PACK/VERIFIED_COUNTS.md` 重新生成并包含当前计数，漂移扫描通过且 0 不匹配。 ## 安全与脱敏 - 安全策略：[`SECURITY.md`](/SECURITY.md) - 脱敏检查清单：[`PROOF_PACK/EVIDENCE_CHECKLIST.md`](/PROOF_PACK/EVIDENCE_CHECKLIST.md) - 脱敏规则：[`PROOF_PACK/REDACTION_RULES.md`](/PROOF_PACK/REDACTION_RULES.md) **仓库标准：** 无真实凭证/令牌，无内部 IP，无意外身份泄露。 ## 深入文档 - 架构 + 覆盖：[`PROOF_PACK/ARCHITECTURE.md`](/PROOF_PACK/ARCHITECTURE.md) - 证明通道索引：[`PROOF_PACK/PROOF_INDEX.md`](/PROOF_PACK/PROOF_INDEX.md) - 贡献工作流：[`CONTRIBUTING.md`](/CONTRIBUTING.md) - 运维手册：[`docs/execution/AUTOSOC_OPERATIONS_RUNBOOK_03-02-2026.md`](/docs/execution/AUTOSOC_OPERATIONS_RUNBOOK_03-02-2026.md) - Wazuh 运维调优：[`docs/detection-tuning-sprint-apr2026.md`](/docs/detection-tuning-sprint-apr2026.md) - Wazuh 遥测修复：[`content/case-studies/wazuh-telemetry-remediation.md`](/content/case-studies/wazuh-telemetry-remediation.md) ## 许可证 MIT。参见 [LICENSE](/LICENSE)。

标签：AI合规, AMSI绕过, DevSecOps, IR, MITM代理, Wazuh, 上游代理, 分流, 剧本, 取证, 后端开发, 威胁检测, 安全运营, 库, 应急响应, 开源, 扫描框架, 管理员页面发现, 编排, 网络安全, 网络调试, 自动化, 逆向工具, 隐私保护