HawkinsOps/SignalFoundry
GitHub: HawkinsOps/SignalFoundry
一个面向审核者的检测工程与 SOC 自动化参考仓库,展示如何以检测即代码构建可验证的实时告警管道。
Stars: 0 | Forks: 0
# SignalFoundry
[](https://github.com/HawkinsOps/SignalFoundry/actions/workflows/docs-lint.yml)
一个从实时运营系统中提炼的检测工程和 SOC 自动化组合。
## 什么是这个
SignalFoundry 是一个真实运行中的检测管道的面向审核者的精简切片。该实时系统——规则、CI、告警轮询、分类、升级、协调——位于一个独立的操作仓库中,并以固定频率针对真实的 Wazuh 部署运行。此仓库是旗舰叙事层:架构、方法论、案例研究和代表性检测样本。
它不是产品,也不是框架,更不是演示。它是一个证据,展示了工程师如何以纪律性构建和运营检测即代码(Detection-as-Code)和 SOC 自动化。
## 内部包含
| 章节 | 内容 |
|---|---|
| [`docs/architecture.md`](docs/architecture.md) | 系统结构、组件、自动化与分析师边界 |
| [`docs/pipeline-overview.md`](docs/pipeline-overview.md) | 告警在管道中逐阶段的流转 |
| [`docs/methodology.md`](docs/methodology.md) | AI 辅助、人-in-the-loop 的工作哲学 |
| [`docs/detection-principles.md`](docs/detection-principles.md) | 规则如何赢得其在库中的位置 |
| [`docs/ci-enforcement.md`](docs/ci-enforcement.md) | CI 如何保障检测内容的完整性 |
| [`docs/case-studies/`](docs/case-studies/) | 三个真实事件及其调查与解决 |
| [`samples/`](samples/) | 代表性的 Sigma、Wazuh 与 Splunk 检测样本 |
| [`diagrams/pipeline.mmd`](diagrams/pipeline.mmd) | AutoSOC 管道的 Mermaid 图 |
## 系统一览
```
flowchart LR
W[Wazuh Manager] --> I[Indexer]
I --> P[poll-alerts]
P --> Q[(File Queue)]
Q --> T[triage]
T --> C[case assembly]
C --> E[escalation PR]
C --> R[reconciliation]
R --> H[heartbeat]
E --> A((Analyst))
```
Wazuh 管理器将告警馈送到索引器。轮询器将告警拉入基于文件的队列。分类应用策略规则和已知误报签名。案例组装打包工件。高严重性案例成为供人工审核的升级拉取请求。协调验证账本完整性。心跳记录管道健康状态。
## AI 的使用与不使用场景
**用于:** 起草和完善检测规则、对分类策略边缘情况进行推理、对管道变更进行代码审查、从证据编写事后分析报告、构建 CI 验证器。
**不用于:** 在未通过验证器与 CI 保障的情况下发布规则、做出升级决策、执行 containment、在人工审核前修改策略逻辑、生成不可追溯到源证据的指标或声明。
AI 是服从于验证的加速器。每条规则都经过验证器,每个管道变更都经过测试,每项升级都交由人工。
## 工具链
Wazuh(管理器、索引器、代理)· Sigma · Splunk 企业版(实验室)· GitHub Actions · Python · PowerShell · Sysmon · Windows 安全审计日志。
## 证据
三个源自真实运营事件的研究案例:
1. **[AutoSOC 竞态条件](docs/case-studies/01-autosoc-race-condition.md)** —— 一个 TOCTOU 错误在队列达到约 50 万个文件时导致管道中断约 7 小时。已在四个崩溃点进行诊断与防护,并在实时 I/O 争用下验证。
2. **[Wazuh 进程遥测调优](docs/case-studies/02-wazuh-telemetry-tuning.md)** —— 24 小时内全舰队约 15.1 万个进程创建告警,其中 97% 集中在一台主机。优先解决队列饱和,随后分类噪声、部署 28 个分级 0 抑制规则,并有意推迟模糊类别。
3. **[Sigma UUID 修复](docs/case-studies/03-sigma-uuid-remediation.md)** —— 一个手工编写的内容验证器发现 69 个规则文件中的 33 组 UUIDv4 冲突,以及 32 个更多潜藏的占位 UUID 文件,而之前的文件计数检查未能发现。共修正 101 个受影响文件,且通过一次机械验证完成。
## 诚实的范围
这是实验室规模但具备生产纪律。它是一个单人运维实验室,运行真实的 Wazuh 舰队、真实的 Splunk 实例、真实的检测内容以及真实的 CI 驱动自动化。它不是企业 SIEM,也不声称自己是。设计选择——基于文件的队列、单线程管道、GitHub Actions 作为编排器——是针对范围与可审查性的刻意决定。此仓库中的每个指标都追溯到源证据或已明确标注。
## 关于
**Raylee Hawkins** — 检测工程、SOC 自动化、安全系统设计。
个人主页:[https://hawkinsops.com](https://hawkinsops.com)
## 许可证
MIT — 见 [LICENSE](LICENSE)。
标签:AI合规, API集成, FTP漏洞扫描, Mermaid, Sigma规则, SOC自动化, Wazuh, 可观测性, 安全工程, 安全开发生命周期, 安全编排, 安全运营, 扫描框架, 架构设计, 案例研究, 检测即代码, 流程编排, 目标导入, 自动化取证, 证据驱动, 逆向工具