riccithesecond/project-akogun

# Akogun Akogun 是一个现代检测工程平台，构建为一个安全数据湖，并在其之上提供检测层。 它以约鲁巴语（Yoruba）术语命名，意为“抵御战争的人”。 Akogun 是一个自建的 SIEM 和威胁狩猎平台，用作学习平台和作品集构建工具。 它运行在 Intel NUC 上，使用 DuckDB 和 Parquet 作为查询引擎和核心存储层。 旨在模拟主流数据湖和分析平台（如 AWS S3、Azure Data Explorer 和 GCP Storage）的家庭实验室规模。 Parquet 文件可以在不更改检测逻辑的情况下被处理并导入 ClickHouse、Snowflake 和 Databricks；仅执行引擎会随规模扩展。 遥测数据从 Windows/Linux、网络和云源通过 Fluent Bit 流入标准化的 Parquet 存储。 - DuckDB 直接查询存储 - 检测运行器对实时数据执行计划规则 - 告警记录存入 Postgres 并在 SIEM UI 中展示 支持以下查询语言： - KQL - Kusto 查询语言 | 活跃 - SPL - Splunk 处理语言 | 活跃 - SQL - 原生 DuckDB | 活跃 - AQL - Arkime 风格的数据包查询 | 进行中 - Lucene - Lucene 风格搜索 | 规划中 - EQL - Elastic 查询语言 | 规划中 日志源： - 通过 Winlogbeat 的 Windows Sysmon - Linux Auditd 与 Laurel - Zeek 网络传感器 - AWS CloudTrail - Azure/Entra - Kubernetes 审计日志 当前阶段：0 - 研究 | 环境 | GH 脚手架

标签：AMSI绕过, AQL, AWS CloudTrail, AWS S3, Azure, Azure Data Explorer, ClickHouse, Databricks, DNS解析, DuckDB, EQL, Fluent Bit, GCP Storage, Gradle集成, Intel NUC, KQL, Kubernetes审计日志, Laurel, Linux Auditd, Parquet, Postgres, Rootkit, Snowflake, SPL, SQL, UI, Winlogbeat, Zeek, 代理支持, 入侵检测系统, 分析平台, 告警, 命令控制, 多线程, 多语言, 多语言SIEM, 威胁检测, 子域名突变, 存储层, 安全数据湖, 家庭实验室, 开源项目, 数据湖, 数据采集, 日志平台, 日志归一化, 查询引擎, 检测平台, 研究阶段, 系统审计, 网络安全, 自定义SIEM, 计划任务, 隐私保护