LWLawton/alertwise

# AlertWise 🛡️ ### SIEM 告警分级与降噪引擎 AlertWise 是一个命令行安全工具，用于摄取原始 SIEM 告警（JSON），通过四个威胁情报源进行增强，应用可配置的抑制规则，对每个告警的风险进行评分，并在几秒钟内输出清晰的分级建议。 专为 **SOC 分析员**、**虚拟 CISO**、**检测工程师** 和 **安全工程师** 而设计，帮助他们摆脱告警疲劳。 ## 📸 演示输出 ``` _ _ _ _ _ _ _ /_\ | |___ _ _ _| |_| | | (_)___ ___ / _ \| / -_) '_| _\ __ / | (_- dict: cached = _load_cache("myprovider", indicator) if cached: return cached # ... call API ... result = { "provider": "myprovider", "score": ..., "tags": [...], "raw": {} } _save_cache("myprovider", indicator, result) return result ``` 2. 在 `ThreatEnricher.enrich()` 的相应指标区域中调用该函数。 ### 添加新的抑制规则类型 1. 在 `alertwise/suppressor.py` 的 `SuppressionEngine.evaluate()` 中添加新的 `elif rtype == "my_type":` 块 2. 在 `data/suppression_rules.json` 中添加示例规则 ### 添加新的计分因素 编辑 `alertwise/scorer.py` 中的 `AlertScorer.score()` — 分解字典和推理列表是透明且易于扩展的。 ## 📄 输出文件 | 文件 | 描述 | |---|---| | `reports/alertwise_report_YYYYMMDD_HHMMSS.txt` | 完整纯文本分级报告 | | `reports/alertwise_report_YYYYMMDD_HHMMSS.html` | 专业 HTML 仪表盘报告 | | `cache/_.json` | 缓存的 TI API 响应 | ## 🔒 安全与隐私 - **除非配置了 API 密钥，否则数据不会离开你的机器** - API 响应会本地缓存 — 指标仅发送一次到 TI 提供者 - 缓存文件包含原始 API 响应 — 如果指标敏感，请妥善处理 - `.env` 文件已加入 `.gitignore` — 切勿提交 API 密钥 ## 📜 许可证 MIT 许可证 — 可自由使用、修改和分发。署名表示感谢。 ## 🤝 贡献 欢迎提交 Pull Request。优先领域包括： - 额外的威胁情报提供者集成（GreyNoise、IPInfo、Recorded Future） - STIX/TAXII 告警摄取支持 - Sigma 规则映射 - Slack/Teams/PagerDuty 网页钩子通知 - Elasticsearch/OpenSearch 直接摄取 *用心为安全社区打造。AlertWise 是一个演示项目 — 在采取生产操作前，请务必手动验证结果。*

标签：JSON解析, Python CLI工具, SOC分析, vCISO, 告警 triage, 告警降噪, 命令行安全工具, 噪声抑制, 威胁情报, 安全工程师, 安全运营, 开发者工具, 扫描框架, 逆向工具, 配置化规则, 风险评分