RohitKumarReddySakam/cipher-siem
GitHub: RohitKumarReddySakam/cipher-siem
一个零许可成本的轻量 SIEM,整合多源日志解析、Sigma 风格规则与时间关联,提供 MITRE ATT&CK 映射以解决小型团队的高成本难题。
Stars: 0 | Forks: 0
[](https://python.org)
[](https://flask.palletsprojects.com)
[](https://attack.mitre.org)
[](https://github.com/SigmaHQ/sigma)
[](LICENSE)
[](.)
[](.)
[](.)
[](.)
## 🎯 问题陈述
商业 SIEM(如 Splunk、QRadar、Sentinel)每年花费 **50,000–500,000 美元**,使小型团队望而却步。CIPHER SIEM 提供:
- **多格式日志摄取** — Syslog RFC 3164/5424、Windows 事件日志、Apache/Nginx CLF、CEF
- **类似 Sigma 的 YAML 规则** — 与行业标准 Sigma 相同结构,可直接扩展
- **时间相关性** — 在 5 分钟滑动窗口内检测多事件攻击链
- **每个告警的 MITRE ATT&CK 映射** — 包含战术和技术 ID
| 功能 | 详情 |
|------|------|
| **日志来源** | Syslog、Windows 事件、Apache/Nginx、CEF |
| **检测规则** | 12 条类似 Sigma 的 YAML 规则 |
| **关联规则** | 暴力破解、横向移动、权限提升、数据 staging |
| **关联窗口** | 5 分钟滑动窗口 |
| **MITRE 技术** | T1110、T1059.001、T1003、T1053、T1543、T1021、T1074、T1068… |
## 🏗️ 架构
```
Syslog │ Windows Event │ Apache/Nginx │ CEF
│ POST /api/ingest
▼
┌──────────────────────────────────┐
│ Log Parser Router │
│ RFC3164/5424│JSON│CLF│CEF │
└──────────────┬───────────────────┘
│ Normalized Event
┌──────────┴──────────┐
▼ ▼
┌──────────────┐ ┌────────────────────────┐
│ YAML Rule │ │ Event Correlator │
│ Engine │ │ Brute force (≥5 fails) │
│ 12 rules │ │ Lateral move (≥3 hosts) │
│ any/all/expr │ │ Privilege escalation │
│ conditions │ │ Data staging │
└──────┬───────┘ └──────────┬─────────────┘
└──────────┬───────────┘
│
┌──────────▼──────────┐
│ Alert Manager │
│ Dedup (5 min) │
└──────────┬──────────┘
│
┌──────────▼──────────┐
│ Dashboard + API │
└─────────────────────┘
```
## 🔍 检测规则
{"status": "closed"}
# Stats
GET /api/stats
```
## 📁 项目结构
```
cipher-siem/
├── app.py # Flask application & REST API
├── wsgi.py # Gunicorn entry point
├── config.py
├── requirements.txt
├── Dockerfile
│
├── parsers/
│ ├── syslog_parser.py # RFC 3164 + RFC 5424
│ ├── windows_event_parser.py # Windows Event Log
│ ├── apache_parser.py # Apache/Nginx CLF
│ └── cef_parser.py # CEF format
│
├── core/
│ ├── rule_engine.py # Sigma-like YAML engine
│ ├── correlator.py # 4 temporal correlators
│ └── alert_manager.py # Dedup & management
│
├── rules/
│ ├── authentication_rules.yaml # 3 rules
│ ├── process_rules.yaml # 5 rules
│ └── network_rules.yaml # 4 rules
│
├── templates/ # Dashboard, Events, Alerts
├── static/ # CSS + JavaScript
└── tests/ # 16 pytest tests
```
## 👨💻 作者
**Rohit Kumar Reddy Sakam**
*DevSecOps 工程师 & 安全研究员*
**⭐ 如果这个项目对你有帮助,请给它一个星标!**
MIT License © 2025 Rohit Kumar Reddy Sakam
S-Rank Hunter — Blue Team
## 🎯 问题陈述
商业 SIEM(如 Splunk、QRadar、Sentinel)每年花费 **50,000–500,000 美元**,使小型团队望而却步。CIPHER SIEM 提供:
- **多格式日志摄取** — Syslog RFC 3164/5424、Windows 事件日志、Apache/Nginx CLF、CEF
- **类似 Sigma 的 YAML 规则** — 与行业标准 Sigma 相同结构,可直接扩展
- **时间相关性** — 在 5 分钟滑动窗口内检测多事件攻击链
- **每个告警的 MITRE ATT&CK 映射** — 包含战术和技术 ID
| 功能 | 详情 |
|------|------|
| **日志来源** | Syslog、Windows 事件、Apache/Nginx、CEF |
| **检测规则** | 12 条类似 Sigma 的 YAML 规则 |
| **关联规则** | 暴力破解、横向移动、权限提升、数据 staging |
| **关联窗口** | 5 分钟滑动窗口 |
| **MITRE 技术** | T1110、T1059.001、T1003、T1053、T1543、T1021、T1074、T1068… |
## 🏗️ 架构
```
Syslog │ Windows Event │ Apache/Nginx │ CEF
│ POST /api/ingest
▼
┌──────────────────────────────────┐
│ Log Parser Router │
│ RFC3164/5424│JSON│CLF│CEF │
└──────────────┬───────────────────┘
│ Normalized Event
┌──────────┴──────────┐
▼ ▼
┌──────────────┐ ┌────────────────────────┐
│ YAML Rule │ │ Event Correlator │
│ Engine │ │ Brute force (≥5 fails) │
│ 12 rules │ │ Lateral move (≥3 hosts) │
│ any/all/expr │ │ Privilege escalation │
│ conditions │ │ Data staging │
└──────┬───────┘ └──────────┬─────────────┘
└──────────┬───────────┘
│
┌──────────▼──────────┐
│ Alert Manager │
│ Dedup (5 min) │
└──────────┬──────────┘
│
┌──────────▼──────────┐
│ Dashboard + API │
└─────────────────────┘
```
## 🔍 检测规则
🔐 认证规则(3 条)
| ID | 名称 | 严重性 | MITRE | |----|------|--------|-------| | auth-001 | 多次登录失败 | HIGH | T1110 | | auth-002 | SSH 根登录尝试 | CRITICAL | T1078 | | auth-003 | 账户锁定 | HIGH | T1110.001 |⚙️ 进程规则(5 条)
| ID | 名称 | 严重性 | MITRE | |----|------|--------|-------| | proc-001 | 可疑的 PowerShell | HIGH | T1059.001 | | proc-002 | 凭证转储 | CRITICAL | T1003 | | proc-003 | 创建计划任务 | HIGH | T1053 | | proc-004 | 服务安装 | HIGH | T1543.003 | | proc-005 | 系统发现命令 | MEDIUM | T1033 |🌐 网络规则(4 条)
| ID | 名称 | 严重性 | MITRE | |----|------|--------|-------| | net-001 | 可疑出站端口 | HIGH | T1571 | | net-002 | TOR 出口节点流量 | HIGH | T1090.003 | | net-003 | DNS 隧道指标 | MEDIUM | T1048.003 | | net-004 | Web 应用攻击 | HIGH | T1190 | ### 日志格式示例 ``` # Syslog RFC 3164 <34>Nov 15 10:23:15 webserver01 sshd[1234]: Failed password for root from 185.220.101.45 # Windows Event Log (JSON) {"EventID": 4625, "Computer": "DC01", "SubjectUserName": "john"} # Apache Combined Log 192.168.1.10 - - [01/Jan/2024] "GET /admin HTTP/1.1" 403 512 "-" "sqlmap/1.7" # CEF CEF:0|Vendor|Product|1.0|100|Login Failure|8|src=192.168.1.50 dst=10.0.0.1 ``` ## ⚡ 快速开始 ``` # Clone the repository git clone https://github.com/RohitKumarReddySakam/cipher-siem.git cd cipher-siem # Setup python3 -m venv venv && source venv/bin/activate pip install -r requirements.txt cp .env.example .env # Run python app.py # → http://localhost:5006 ``` ### 🐳 Docker ``` git clone https://github.com/RohitKumarReddySakam/cipher-siem.git cd cipher-siem docker build -t cipher-siem . docker run -p 5006:5006 cipher-siem ``` ## 🔌 API 参考 ``` # Ingest single log POST /api/ingest {"source": "syslog", "raw": "<34>Nov 15 10:23:15 ..."} # Ingest batch (up to 200) POST /api/ingest/batch [{"source": "windows_event", "EventID": 4625, ...}] # Get events GET /api/events?source=syslog # Get alerts GET /api/alerts # Update alert PATCH /api/alert/
S-Rank Hunter — Blue Team
标签:AMSI绕过, Apache, ATT&CK映射, CEF, Cloudflare, Flask, MITRE, MITRE ATT&CK, Nginx, OpenCanary, PE 加载器, Python, Sigma规则, Syslog, T1003, T1021, T1053, T1059.001, T1074, T1110, T1543, Windows Event Log, YAML规则, 事件关联, 云计算, 代理支持, 低成本, 信息收集自动化, 免费, 告警, 商业SIEM替代, 多格式日志, 多源日志, 威胁检测, 安全信息和事件管理, 安全运营, 小型团队, 开源, 开源安全工具, 战术映射, 扫描框架, 攻击链, 无后门, 日志关联, 日志解析, 日志采集, 时间窗口, 检测规则, 滑动窗口, 目标导入, 网络资产发现, 规则引擎, 证书伪造, 请求拦截, 逆向工具, 逆向工程平台, 速率限制处理, 零成本