Rihan46/Detection_Engineering

# 威胁报告 → Elastic 检测规则生成器 ## 概述 本项目旨在从公开的威胁情报和 DFIR 报告中自动生成 **Elastic SIEM detection rules**。 该工作流从 RSS 源收集威胁报告，利用 Large Language Model (LLM) 对其进行分析，并生成 **Elastic query format** 格式的结构化检测规则。 本项目的目标是帮助 **Detection Engineers 和 SOC 团队** 快速将威胁情报转化为可操作的检测逻辑。 ## 主要功能 * 威胁情报报告的自动获取 * 基于 LLM 的攻击者技术提取 * 自动生成 Elastic SIEM 检测规则 * 用于自动化 pipeline 的结构化 JSON 输出 * 支持多个 RSS 源 ## 数据来源 该工作流目前处理来自以下来源的威胁报告： * Unit42 Threat Intelligence * The DFIR Report 这些来源提供了详细的攻击分析、 adversary 技术和取证调查。未来几天将添加更多源。 ## 架构 检测规则生成 pipeline 的工作流程如下： ``` Threat Intelligence RSS Feeds │ ▼ n8n Workflow Engine │ ▼ LLM Analysis (Gemini) │ ▼ Detection Rule Generation │ ▼ Structured JSON Parsing │ ▼ Detection Rule Output ``` ## 工作流步骤 1. 从威胁情报源获取 RSS feeds。 2. 筛选出在配置时间窗口内发布的报告。 3. 将报告 URL 发送给 LLM。 4. LLM 分析报告并提取潜在的检测机会。 5. 生成 **Elastic SIEM query format** 格式的检测规则。 6. 输出作为结构化 JSON 返回。 7. 解析并存储规则以供后续使用。 ## 检测规则格式 生成的规则遵循以下 JSON 结构： ``` { "rules": [ { "rule_name": "Example Rule", "rule_description": "Detects suspicious activity related to attacker behavior.", "rule_logic": "process.name: suspicious.exe AND event.category: process" } ] } ``` 每个规则包含： | 字段 | 描述 | | ---------------- | ------------------------------------- | | rule_name | 检测规则名称 | | rule_description | 检测逻辑描述 | | rule_logic | 用于检测的 Elastic SIEM query | ## 示例输出 ``` Rule name: Handala Hack Wiper - Shadow Copy Deletion Rule Description: Detects execution of vssadmin deleting shadow copies, a common anti-forensic technique used by wiper malware. Rule Logic: host.os.type: "windows" AND process.name: "vssadmin.exe" AND process.command_line: "*delete shadows*" ``` ## 需求 * n8n workflow automation * Gemini API access * 来自威胁情报源的 RSS feeds ## 用例 本项目可协助： * Detection engineering * 威胁情报操作化 * 自动化规则生成 * 安全研究 * SOC 检测能力提升 ## 未来改进 计划的增强功能包括： * MITRE ATT&CK mapping * Sigma rule generation * 检测规则去重 * 误报指导 * Multi-SIEM rule 支持 ## 免责声明 本系统生成的检测规则是使用 LLM 自动创建的。 在生产环境中部署之前，应 **由 detection engineers 进行审查和验证**。 MIT License

标签：AI 安全, Elastic Query, Elastic SIEM, Gemini, Homebrew安装, JSON, LLM 安全, n8n, RSS 订阅, The DFIR Report, Unit42, 后端开发, 威胁情报, 安全运营, 开发者工具, 扫描框架, 攻击分析, 检测规则生成, 知识提取, 网络安全, 网络调试, 自动化, 规则工程, 隐私保护