pinkysworld/Wardex

# Wardex [](https://minh.systems/Wardex/) [](https://github.com/sponsors/pinkysworld) [](https://github.com/pinkysworld/Wardex/releases) Wardex 是一个基于 Rust 的 XDR 和 SIEM 平台，适用于私有云和自托管安全运营。它将跨平台遥测收集、检测工程、分析员工作流程、审批门控响应、代理生命周期管理、SIEM 集成以及防篡改证据处理整合到一个可部署的产品中。 ## `v0.52.5` 中的新功能 - 134 个 Rust 源代码模块，涵盖遥测收集、检测工程、狩猎/搜索、SOCT 工作流、舰队操作、治理和自动化事件响应。 - 138 个文档化的 OpenAPI 路径，包含认证管理控制台工作流、舰队控制、报告、狩猎、调查、NDR 和企业支持接口。 - 1500+ 个自动化测试和冒烟检查，涵盖 Rust、SDK、管理控制台和 Playwright 浏览器覆盖率。 - **新增：调查与狩猎工作流 UX** — 检测页面现在支持 `intent=run-hunt`，打开专用的狩猎抽屉，内联保存并运行狩猎，显示工作流建议，并让 SOC 工作台直接对事件进行枢转并将其排队到调查计划或预填充的狩猎中。 - **新增：分析员质量的调优信号** — 误报顾问操作现在会预填充抑制规则，建议更安全的权重降低，并显示规则级反馈，而非原始统计信息。 - **新增：更深入的 NDR 可见性** — 信标速率检测、专用异常端点和协议分布报告现已通过 API 和控制台连接。 - **新增：更好的威胁上下文种子** — 默认情报源、发送方域名网络钓鱼启发式规则，以及持久性/启动路径 LOLBin 推理，提升了开箱即用的信号混合。 - **新增：操作员文档与打包优化** — 规模/高可用性指导、原生包安装说明、可搜索的站点资源、Homebrew 对齐以及 SDK 漂移验证现已成为发布产品的一部分。 - **新增：确定性浏览器冒烟测试** — 聚焦的 Playwright 测试覆盖新的狩猎抽屉、已保存的狩猎执行、调查规划器以及队列到狩猎的枢转，无需依赖实时后端。 请参阅 [FEATURES.md](FEATURES.md) 获取简洁的能力摘要，[CHANGELOG.md](CHANGELOG.md) 获取发布历史，以及 [docs/README.md](docs/README.md) 获取完整文档地图。 ## 快速开始 构建项目： ``` npm ci --prefix admin-console cargo build --release ``` 嵌入式管理控制台会在 Rust 构建过程中编译，因此首次检出后需要先安装管理控制台的 npm 依赖项。 运行包含的演示跟踪： ``` cargo run -- demo ``` 分析遥测场景： ``` cargo run -- analyze examples/credential_storm.csv ``` 启动实时控制平面： ``` cargo run ``` `cargo run` 会在端口 `8080` 上启动本地 Rust 控制平面，并从中提供嵌入的管理控制台 `http://localhost:8080/admin/`。打开该 URL，粘贴终端中打印的令牌，即可访问实时的管理控制台、SOC 工作台、舰队控制、检测工程视图和报告。如果你是使用 `npm run dev` 单独开发前端，请改用 `http://localhost:5173/admin/`；`:8080` 是后端服务的本地默认地址，而不是独立的 Vite 开发服务器。仅当你明确希望在不包含嵌入式本地监控的情况下使用 Web 服务器时，才使用 `cargo run -- serve`。 ## 核心能力 - **检测工程**：托管的 Sigma/原生规则、YARA 引擎、恶意文件哈希数据库、规则测试、提升/回滚生命周期、抑制规则、KQL 风格威胁狩猎、计划狩猎历史记录以及 MITRE 覆盖。 - **恶意软件扫描**：针对约 48 个内置签名进行文件哈希查找、YARA 模式匹配、判决分类（恶意/可疑/清洁）以及社区规则包。 - **SOC 运营**：排队告警、案件管理、调查图谱与时间线、实体枢转、故事线生成、证据导出、告警去重和响应审批。 - **事件自动化**：包含 11 种步骤类型的声明式剧本引擎、触发匹配、条件分支、并行执行、审批门控和 SLA 驱动的升级。 - **舰队运营**：代理注册、策略同步、更新发布组、版本分配、回滚、取消以及每个代理的活动快照。 - **治理与合规**：RBAC、管理会话控制、防篡改审计记录、合规评估（CIS v8、PCI-DSS v4、SOX 2、NIST CSF 2.0）、加密备份以及 IDP/SCIM 配置。 - **集成**：多格式 SIEM 导出（CEF/LEEF/Syslog/Sentinel/UDM/ECS/QRadar）、威胁情报拉取、票据同步、OpenTelemetry 追踪、API 分析以及适用于 Linux、macOS 和 Windows 的发布打包。 ## 验证 运行完整的自动化套件： ``` cargo test ``` 当前版本已通过 Rust 单元测试与集成测试、SDK 检查、管理控制台构建以及聚焦的 Playwright 冒烟测试验证。该仓库还包含实时验证辅助工具，位于 [`tests/live_test.py`](tests/live_test.py)、[`tests/verify_admin.py`](tests/verify_admin.py)、[`tests/playwright/enterprise_console_smoke.spec.js`](tests/playwright/enterprise_console_smoke.spec.js) 和 [`tests/playwright/live_release_smoke.spec.js`](tests/playwright/live_release_smoke.spec.js)。 ## 仓库布局 ``` src/ Core platform modules (134 Rust source files) tests/ Integration tests, live checks, and browser smoke coverage docs/ Product, architecture, deployment, and runbook documentation admin-console/ React admin console source (embedded from dist at build time) site/ Static product website .github/workflows/ CI, Pages, and release automation examples/ Sample telemetry traces for demo and regression scenarios ``` ## 文档 从以下开始： - [`docs/GETTING_STARTED.md`](docs/GETTING_STARTED.md) - [`docs/ARCHITECTURE.md`](docs/ARCHITECTURE.md) - [`docs/STATUS.md`](docs/STATUS.md) - [`docs/DEPLOYMENT_MODELS.md`](docs/DEPLOYMENT_MODELS.md) - [`docs/runbooks/README.md`](docs/runbooks/README.md) ## 发行版本 标记的发行版本由 GitHub Actions 打包为 Linux、macOS 和 Windows 压缩包。公共发行说明和构件发布在该仓库的 GitHub Releases 页面上。 ## 许可证 Wardex 在 **商业源码许可证 1.1**（BSL 1.1）下发布。 - **免费用于**：开发、测试、评估、研究和非商业用途。 - **生产商业使用**需要从作者处获得单独的商业许可证。 - **转换为 Apache 2.0** 于 2029-04-01。 请参阅 [LICENSE](LICENSE) 获取完整条款。

标签：API开放平台, NDR, Rust, SOC工作流, 企业级安全, 信噪比优化, 取证证据处理, 可视化界面, 威胁情报, 安全合规, 安全工作台, 安全运营, 安全运营平台, 开发者工具, 异常检测, 扫描框架, 浏览器安全操作, 特征检测, 私有云, 端点检测与响应, 端点生命周期管理, 管理员页面发现, 网络代理, 网络流量分析, 网络流量审计, 脱壳工具, 自动化响应, 自托管, 自托管安全工具, 误报调优, 跨平台遥测, 通知系统