PerIPan/explorer-plus

GitHub: PerIPan/explorer-plus

基于 MITRE ATT&CK 和 ATLAS 框架的多领域威胁情报探索平台,聚合 25+ 实时数据源提供漏洞、威胁行为者和检测规则的统一分析界面。

Stars: 0 | Forks: 0

MITRE Explorer Plus

MITRE Explorer Plus

基于 MITRE ATT&CKATLAS25+ 互联数据源 的多领域威胁情报平台。
提供统一界面,涵盖对手行为、检测、漏洞管理、合规性和应用安全。

mitre-explorer.org  |  A2A Agent Card  |  VirusTotal 0/94

## 功能介绍 | 功能 | 详情 | |------------|---------| | **多领域 ATT&CK + ATLAS** | 涵盖 Enterprise、ICS、Mobile、ATLAS(AI/ML 威胁),支持领域切换器和跨领域的“全部”视图 | | **360° 实体视图** | 搜索任何实体 —— 通过 Technique Map、Actor Profile、Software Map、Application Map、Sector Map、Diamond Entities 力导向图进行探索 | | **ATT&CK Matrix** | 带有子技术计数的 Heatmap,支持对手对比覆盖(最多 3 个组织),以及带过滤器的 HTML 导出 | | **Applications** | 将 11K+ 供应商/产品通过 CWE → CAPEC → ATT&CK 技术关联至威胁组织 | | **CVEs** | 26K+ 来自 CVElistV5 的漏洞,结合 NVD 丰富化数据、CISA KEV 以及 EPSS 利用概率,包含技术 ID 和受影响的应用 | | **Advisories** | 统一的 GHSA + OSV 列表 —— 涵盖 npm/PyPI/Maven/Go/... 的 8K+ GitHub Security Advisories,以及覆盖 Linux kernel、Debian、Ubuntu、Alpine、Android、OSS-Fuzz、Chainguard 的 50K+ OSV 建议 | | **Ecosystems** | 针对 40+ OSS 注册表、OS 发行版和容器发行版的按生态系统划分的仪表盘 —— 包括严重程度分布、热门包和咨询流 | | **IOCs** | 5,800+ 来自 OTX、ThreatFox、MalwareBazaar 的指标(IPs、domains、hashes、URLs),结合 VirusTotal 判定结果进行丰富化 | | **Detection** | 3,100+ Sigma 规则,1,770+ Atomic Red Team 测试,5,000+ D3FEND 对抗措施,ATT&CK v18 检测策略 + 分析 | | **Frameworks** | OWASP Top 10 (Web 2021, ML 2023, LLM 2025), NIST CSF v2, NIST 800-53, CAPEC (615 种模式), MITRE Engage, RE&CT, VERIS, Azure + GCP 云控制, EU CRA (开发中), OWASP AI Exchange (开发中) | | **Threat actors** | 191 个 ATT&CK 组织 + 514 个 ThaiCERT/ETDA 外部攻击者,包含国家、动机、国家背景归属信息 | | **Sector intelligence** | 12 个带有威胁态势的垂直行业 —— 包含组织、技术、攻击活动、CVE、存在漏洞的应用 | | **A2A Agent Protocol v1.0** | 24 项技能 —— AI agent 通过 JSON-RPC 2.0 查询此知识库,由 Gemini 提供支持 | ## 架构 ``` Next.js 15 App Router (React 19 + TypeScript + Tailwind 4) | +-- API routes under app/api (v1 REST + A2A + 11 Vercel crons) | | | +-- PostgreSQL on Neon (~40 tables + matviews) | | | +-- A2A endpoint (Gemini 3.1 Flash-Lite, 24 skills) | +-- 6 GitHub Actions workflows (heavy ingest jobs outside Vercel's 300s cron cap) ``` ## 数据源 | 来源 | 内容 | 行数 | 更新频率 | |--------|------|-----:|--------| | MITRE ATT&CK STIX | 技术、组织、攻击活动、软件、缓解措施、战术 | 22K+ | 初始化 | | MITRE ATLAS | AI/ML 技术、缓解措施、交叉引用 | 200+ | 初始化 | | CVElistV5 | CVE 元数据、CWE、受影响的产品 (CPE) | 26K+ CVEs | 初始化 | | NVD API | CVSS 分数、描述、CPE 丰富化 | 每小时 | GH Actions | | CISA KEV | 已知被利用的漏洞 | 1,550+ | Cron | | EPSS (FIRST.org) | 每日漏洞利用概率评分 | 每个 CVE | Cron | | GitHub Security Advisories | 涵盖 npm, PyPI, Maven, Go, RubyGems, … 的 OSS 通报 | 8K+ | GH Actions | | OSV.dev | 非 GHSA 生态系统 —— Linux kernel, Debian, Ubuntu, Alpine, Android, OSS-Fuzz, Chainguard, … | 50K+ | GH Actions | | CAPEC STIX | CWE → CAPEC → ATT&CK 技术桥梁 + 615 种模式分类 | 1,480+ | 初始化 | | CTID | 人工策划的 CVE → 技术映射 | 198 | 初始化 | | AlienVault OTX | 威胁报告 + IOC 指标 | 80+ 份报告 | Cron | | ThreatFox + MalwareBazaar | 带有家族归属信息的恶意软件 IOC | 5,800+ | Cron | | SigmaHQ | 每项技术的检测规则 | 3,100+ | GH Actions | | Atomic Red Team | 对手模拟测试 | 1,770+ | GH Actions | | D3FEND | 防御性对抗措施 | 5,000+ | Cron | | NIST CSF v2 | Cybersecurity Framework v2 子类别 + 指向 ATT&CK 的 CRI Profile 交叉映射 | 300+ | Cron | | NIST 800-53 | 合规控制措施 | 5,260+ | 初始化 | | ThaiCERT/ETDA | 外部威胁行为者档案 | 514 | 初始化 | | OWASP Top 10 | 通过 CWE + ATLAS 映射的 Web (2021), ML (2023), LLM (2025) | 30 | 初始化 | | MITRE Engage, RE&CT, VERIS | 欺骗、响应、事件分类 | 2,400+ | 初始化 | | Azure + GCP | 云安全控制 | 1,450+ | 初始化 | | RSS feeds | DFIR Report, Unit42, Microsoft Security, Talos | 80+ 份报告 | Cron | | VirusTotal | IOC 判定丰富化 + 站点健康扫描 | 持续进行 | Cron | ## CVE → 技术路径 有三条独立的路径将 CVE 链接到 ATT&CK 技术: ``` Path 1: CAPEC bridge (~20K CVEs) CVE → cve_weaknesses → capec_mappings → techniques Path 2: IOC path (~500 CVEs) CVE → ioc_entries → technique_iocs → techniques Path 3: CTID direct (198 CVEs) CVE → synthetic CWE → CTID capec entry → techniques ``` 完整文档:[docs/technique_glue.md](docs/technique_glue.md) ## 技术栈 | 层级 | 技术 | |-------|------| | 框架 | Next.js 15 (App Router, RSC, server actions) | | 前端 | React 19, TypeScript, Tailwind CSS 4 | | 可视化 | D3.js (力导向图), Recharts | | 搜索 | Fuse.js (客户端模糊搜索) | | 状态管理 | TanStack Query v5, React Context | | 后端 | Vercel 上的 Next.js route handlers (serverless) | | 数据库 | Neon 上的 PostgreSQL (~40 张表,用于热连接的物化视图) | | AI | Google Gemini 3.1 Flash-Lite (A2A agent) | | 校验 | Zod | | 安全 | DOMPurify, CSP headers, rate limiting, approximate-count endpoints | ## 数据接入任务 **Vercel cron** (轻量级,运行时间 <300 秒): | 任务 | 计划 | 内容 | |-----|----------|------| | `ingest-cve-delta` | 每天 04:00 | NVD API 新增/修改的 CVE | | `ingest-cisa-kev` | 每天 03:00 | CISA 已知被利用的漏洞 | | `ingest-abuse-ch` | 每天 02:00 | ThreatFox + MalwareBazaar IOCs | | `ingest-otx` | 每 3 小时 | AlienVault OTX pulses + IOCs | | `ingest-rss` | 每 6 小时 | DFIR Report, Unit42, Microsoft, Talos | | `enrich-nvd` | 每 4 小时 | 为 IOC 的 CVE 补充 CVSS 信息 | | `enrich-vt` | 每 8 小时 | VirusTotal 判定结果丰富化 | | `sync-d3fend` | 每月 | D3FEND 对抗措施 | | `sync-csf` | 每周 | NIST CSF v2 子类别 + CRI Profile | | `sync-epss` | 每天 03:10 | FIRST.org 漏洞利用概率评分 | | `refresh-matviews` | 每 8 小时 | `app_technique_groups`, `package_summary` | | `scan-site-health` | 每周 | VirusTotal 域名自检 | **GitHub Actions** (超出 Vercel 300 秒限制的繁重接入任务): | 工作流 | 计划 | 内容 | |----------|----------|------| | `sync-osv` | 每日增量 05:30 UTC · 每月全量 1st 04:00 UTC | 涵盖 30+ 非 GHSA 生态系统的 OSV 通报 | | `sync-cve-products` | 每小时 `:17` | 为缺少产品链接的 CVE 重新获取 NVD CPE | | `sync-ghsa` | 每月 | 完整的 GitHub Security Advisories 语料库 | | `sync-ghsa-delta` | 每天 | GHSA 增量更新 | | `sync-sigma` | 每周 | SigmaHQ 规则包刷新 | | `sync-atomic` | 每周 | Atomic Red Team 测试刷新 | ## A2A Agent Protocol AI agent 可以通过 [Agent Card](https://mitre-explorer.org/.well-known/agent-card.json) 以编程方式查询此知识库。 - **协议**:基于 HTTPS 的 A2A v1.0 JSON-RPC 2.0 - **24 项技能**:CVEs, techniques, groups, software, campaigns, mitigations, IOCs, Sigma rules, Atomic tests, sectors, applications, GHSA/OSV advisories, packages, CAPEC patterns, OWASP Top 10, external actors - **双重产出**:人类可读的摘要 + 结构化的 JSON 数据 - **多轮对话**:Agentic 工具链式调用(搜索 → 档案,最多 3 轮) - **速率限制**:每天每 IP 50 次请求,无需身份验证 示例:*“使用 A2A Google GenAI 协议询问 mitre-explorer.org,上周发布的新 CVE 影响了哪些 Applications —— 向我展示相关技术以及相同 packages 上的任何已知 OSV 通报。”* ## 快速开始 ``` npm install # 本地 dev server (Next.js 在 :3000 上) npm run dev # typecheck npm run typecheck # 从 CVElistV5、ATT&CK、ATLAS 和参考数据集中 seed database DATABASE_URL=postgresql://postgres@localhost:5432/mitre npm run seed ``` ### 环境变量 | 变量 | 描述 | |----------|-------------| | `DATABASE_URL` | PostgreSQL 连接字符串 (Neon 或本地) | | `GEMINI_API_KEY` | Google Gemini API key (A2A) | | `VT_API_KEY` | VirusTotal API key (IOC 丰富化) | | `NVD_API_KEY` | NVD API key — 将速率限制从 30 秒 5 次请求提升至 50 次 | | `CRON_SECRET` | cron 端点的身份验证令牌 | ## 代码库 app/、src/ 和 scripts/ 目录下包含约 42K 行自定义代码。 ``` app/ Next.js 15 App Router — pages + API routes src/views/ Top-level page components (Dashboard, CVEs, Advisories, Ecosystems, …) src/components/ Layout, charts, maps, shared primitives src/hooks/ TanStack Query hooks (useApi.ts), URL-param helpers src/lib/ Client helpers — API fetch, types, ecosystems registry app/api/v1/ 29 REST endpoint groups app/api/a2a/ A2A agent endpoint (Gemini tool-calling) app/api/cron/ 11 Vercel cron handlers scripts/ Heavy ingesters run from GitHub Actions .github/workflows/ 6 scheduled ingest workflows ``` ## 开源协议 ISC *不附属于 MITRE Corporation,也未获得其认可。* *contact @ mitre-explorer.org*
标签:Cloudflare, GPT, MITRE ATT&CK, 威胁情报, 安全运营, 开发者工具, 情报可视化, 扫描框架, 测试用例, 漏洞管理, 自动化攻击