MITRE Explorer Plus
基于 MITRE ATT&CK、ATLAS 和 25+ 互联数据源 的多领域威胁情报平台。
提供统一界面,涵盖对手行为、检测、漏洞管理、合规性和应用安全。
mitre-explorer.org |
A2A Agent Card |
VirusTotal 0/94
## 功能介绍
| 功能 | 详情 |
|------------|---------|
| **多领域 ATT&CK + ATLAS** | 涵盖 Enterprise、ICS、Mobile、ATLAS(AI/ML 威胁),支持领域切换器和跨领域的“全部”视图 |
| **360° 实体视图** | 搜索任何实体 —— 通过 Technique Map、Actor Profile、Software Map、Application Map、Sector Map、Diamond Entities 力导向图进行探索 |
| **ATT&CK Matrix** | 带有子技术计数的 Heatmap,支持对手对比覆盖(最多 3 个组织),以及带过滤器的 HTML 导出 |
| **Applications** | 将 11K+ 供应商/产品通过 CWE → CAPEC → ATT&CK 技术关联至威胁组织 |
| **CVEs** | 26K+ 来自 CVElistV5 的漏洞,结合 NVD 丰富化数据、CISA KEV 以及 EPSS 利用概率,包含技术 ID 和受影响的应用 |
| **Advisories** | 统一的 GHSA + OSV 列表 —— 涵盖 npm/PyPI/Maven/Go/... 的 8K+ GitHub Security Advisories,以及覆盖 Linux kernel、Debian、Ubuntu、Alpine、Android、OSS-Fuzz、Chainguard 的 50K+ OSV 建议 |
| **Ecosystems** | 针对 40+ OSS 注册表、OS 发行版和容器发行版的按生态系统划分的仪表盘 —— 包括严重程度分布、热门包和咨询流 |
| **IOCs** | 5,800+ 来自 OTX、ThreatFox、MalwareBazaar 的指标(IPs、domains、hashes、URLs),结合 VirusTotal 判定结果进行丰富化 |
| **Detection** | 3,100+ Sigma 规则,1,770+ Atomic Red Team 测试,5,000+ D3FEND 对抗措施,ATT&CK v18 检测策略 + 分析 |
| **Frameworks** | OWASP Top 10 (Web 2021, ML 2023, LLM 2025), NIST CSF v2, NIST 800-53, CAPEC (615 种模式), MITRE Engage, RE&CT, VERIS, Azure + GCP 云控制, EU CRA (开发中), OWASP AI Exchange (开发中) |
| **Threat actors** | 191 个 ATT&CK 组织 + 514 个 ThaiCERT/ETDA 外部攻击者,包含国家、动机、国家背景归属信息 |
| **Sector intelligence** | 12 个带有威胁态势的垂直行业 —— 包含组织、技术、攻击活动、CVE、存在漏洞的应用 |
| **A2A Agent Protocol v1.0** | 24 项技能 —— AI agent 通过 JSON-RPC 2.0 查询此知识库,由 Gemini 提供支持 |
## 架构
```
Next.js 15 App Router (React 19 + TypeScript + Tailwind 4)
|
+-- API routes under app/api (v1 REST + A2A + 11 Vercel crons)
| |
| +-- PostgreSQL on Neon (~40 tables + matviews)
| |
| +-- A2A endpoint (Gemini 3.1 Flash-Lite, 24 skills)
|
+-- 6 GitHub Actions workflows (heavy ingest jobs outside Vercel's 300s cron cap)
```
## 数据源
| 来源 | 内容 | 行数 | 更新频率 |
|--------|------|-----:|--------|
| MITRE ATT&CK STIX | 技术、组织、攻击活动、软件、缓解措施、战术 | 22K+ | 初始化 |
| MITRE ATLAS | AI/ML 技术、缓解措施、交叉引用 | 200+ | 初始化 |
| CVElistV5 | CVE 元数据、CWE、受影响的产品 (CPE) | 26K+ CVEs | 初始化 |
| NVD API | CVSS 分数、描述、CPE 丰富化 | 每小时 | GH Actions |
| CISA KEV | 已知被利用的漏洞 | 1,550+ | Cron |
| EPSS (FIRST.org) | 每日漏洞利用概率评分 | 每个 CVE | Cron |
| GitHub Security Advisories | 涵盖 npm, PyPI, Maven, Go, RubyGems, … 的 OSS 通报 | 8K+ | GH Actions |
| OSV.dev | 非 GHSA 生态系统 —— Linux kernel, Debian, Ubuntu, Alpine, Android, OSS-Fuzz, Chainguard, … | 50K+ | GH Actions |
| CAPEC STIX | CWE → CAPEC → ATT&CK 技术桥梁 + 615 种模式分类 | 1,480+ | 初始化 |
| CTID | 人工策划的 CVE → 技术映射 | 198 | 初始化 |
| AlienVault OTX | 威胁报告 + IOC 指标 | 80+ 份报告 | Cron |
| ThreatFox + MalwareBazaar | 带有家族归属信息的恶意软件 IOC | 5,800+ | Cron |
| SigmaHQ | 每项技术的检测规则 | 3,100+ | GH Actions |
| Atomic Red Team | 对手模拟测试 | 1,770+ | GH Actions |
| D3FEND | 防御性对抗措施 | 5,000+ | Cron |
| NIST CSF v2 | Cybersecurity Framework v2 子类别 + 指向 ATT&CK 的 CRI Profile 交叉映射 | 300+ | Cron |
| NIST 800-53 | 合规控制措施 | 5,260+ | 初始化 |
| ThaiCERT/ETDA | 外部威胁行为者档案 | 514 | 初始化 |
| OWASP Top 10 | 通过 CWE + ATLAS 映射的 Web (2021), ML (2023), LLM (2025) | 30 | 初始化 |
| MITRE Engage, RE&CT, VERIS | 欺骗、响应、事件分类 | 2,400+ | 初始化 |
| Azure + GCP | 云安全控制 | 1,450+ | 初始化 |
| RSS feeds | DFIR Report, Unit42, Microsoft Security, Talos | 80+ 份报告 | Cron |
| VirusTotal | IOC 判定丰富化 + 站点健康扫描 | 持续进行 | Cron |
## CVE → 技术路径
有三条独立的路径将 CVE 链接到 ATT&CK 技术:
```
Path 1: CAPEC bridge (~20K CVEs)
CVE → cve_weaknesses → capec_mappings → techniques
Path 2: IOC path (~500 CVEs)
CVE → ioc_entries → technique_iocs → techniques
Path 3: CTID direct (198 CVEs)
CVE → synthetic CWE → CTID capec entry → techniques
```
完整文档:[docs/technique_glue.md](docs/technique_glue.md)
## 技术栈
| 层级 | 技术 |
|-------|------|
| 框架 | Next.js 15 (App Router, RSC, server actions) |
| 前端 | React 19, TypeScript, Tailwind CSS 4 |
| 可视化 | D3.js (力导向图), Recharts |
| 搜索 | Fuse.js (客户端模糊搜索) |
| 状态管理 | TanStack Query v5, React Context |
| 后端 | Vercel 上的 Next.js route handlers (serverless) |
| 数据库 | Neon 上的 PostgreSQL (~40 张表,用于热连接的物化视图) |
| AI | Google Gemini 3.1 Flash-Lite (A2A agent) |
| 校验 | Zod |
| 安全 | DOMPurify, CSP headers, rate limiting, approximate-count endpoints |
## 数据接入任务
**Vercel cron** (轻量级,运行时间 <300 秒):
| 任务 | 计划 | 内容 |
|-----|----------|------|
| `ingest-cve-delta` | 每天 04:00 | NVD API 新增/修改的 CVE |
| `ingest-cisa-kev` | 每天 03:00 | CISA 已知被利用的漏洞 |
| `ingest-abuse-ch` | 每天 02:00 | ThreatFox + MalwareBazaar IOCs |
| `ingest-otx` | 每 3 小时 | AlienVault OTX pulses + IOCs |
| `ingest-rss` | 每 6 小时 | DFIR Report, Unit42, Microsoft, Talos |
| `enrich-nvd` | 每 4 小时 | 为 IOC 的 CVE 补充 CVSS 信息 |
| `enrich-vt` | 每 8 小时 | VirusTotal 判定结果丰富化 |
| `sync-d3fend` | 每月 | D3FEND 对抗措施 |
| `sync-csf` | 每周 | NIST CSF v2 子类别 + CRI Profile |
| `sync-epss` | 每天 03:10 | FIRST.org 漏洞利用概率评分 |
| `refresh-matviews` | 每 8 小时 | `app_technique_groups`, `package_summary` |
| `scan-site-health` | 每周 | VirusTotal 域名自检 |
**GitHub Actions** (超出 Vercel 300 秒限制的繁重接入任务):
| 工作流 | 计划 | 内容 |
|----------|----------|------|
| `sync-osv` | 每日增量 05:30 UTC · 每月全量 1st 04:00 UTC | 涵盖 30+ 非 GHSA 生态系统的 OSV 通报 |
| `sync-cve-products` | 每小时 `:17` | 为缺少产品链接的 CVE 重新获取 NVD CPE |
| `sync-ghsa` | 每月 | 完整的 GitHub Security Advisories 语料库 |
| `sync-ghsa-delta` | 每天 | GHSA 增量更新 |
| `sync-sigma` | 每周 | SigmaHQ 规则包刷新 |
| `sync-atomic` | 每周 | Atomic Red Team 测试刷新 |
## A2A Agent Protocol
AI agent 可以通过 [Agent Card](https://mitre-explorer.org/.well-known/agent-card.json) 以编程方式查询此知识库。
- **协议**:基于 HTTPS 的 A2A v1.0 JSON-RPC 2.0
- **24 项技能**:CVEs, techniques, groups, software, campaigns, mitigations, IOCs, Sigma rules, Atomic tests, sectors, applications, GHSA/OSV advisories, packages, CAPEC patterns, OWASP Top 10, external actors
- **双重产出**:人类可读的摘要 + 结构化的 JSON 数据
- **多轮对话**:Agentic 工具链式调用(搜索 → 档案,最多 3 轮)
- **速率限制**:每天每 IP 50 次请求,无需身份验证
示例:*“使用 A2A Google GenAI 协议询问 mitre-explorer.org,上周发布的新 CVE 影响了哪些 Applications —— 向我展示相关技术以及相同 packages 上的任何已知 OSV 通报。”*
## 快速开始
```
npm install
# 本地 dev server (Next.js 在 :3000 上)
npm run dev
# typecheck
npm run typecheck
# 从 CVElistV5、ATT&CK、ATLAS 和参考数据集中 seed database
DATABASE_URL=postgresql://postgres@localhost:5432/mitre npm run seed
```
### 环境变量
| 变量 | 描述 |
|----------|-------------|
| `DATABASE_URL` | PostgreSQL 连接字符串 (Neon 或本地) |
| `GEMINI_API_KEY` | Google Gemini API key (A2A) |
| `VT_API_KEY` | VirusTotal API key (IOC 丰富化) |
| `NVD_API_KEY` | NVD API key — 将速率限制从 30 秒 5 次请求提升至 50 次 |
| `CRON_SECRET` | cron 端点的身份验证令牌 |
## 代码库
app/、src/ 和 scripts/ 目录下包含约 42K 行自定义代码。
```
app/ Next.js 15 App Router — pages + API routes
src/views/ Top-level page components (Dashboard, CVEs, Advisories, Ecosystems, …)
src/components/ Layout, charts, maps, shared primitives
src/hooks/ TanStack Query hooks (useApi.ts), URL-param helpers
src/lib/ Client helpers — API fetch, types, ecosystems registry
app/api/v1/ 29 REST endpoint groups
app/api/a2a/ A2A agent endpoint (Gemini tool-calling)
app/api/cron/ 11 Vercel cron handlers
scripts/ Heavy ingesters run from GitHub Actions
.github/workflows/ 6 scheduled ingest workflows
```
## 开源协议
ISC
*不附属于 MITRE Corporation,也未获得其认可。*
*contact @ mitre-explorer.org*