tejassesh5/purple-loop
GitHub: tejassesh5/purple-loop
一个用于在真实主机上执行攻击模拟并验证 Sigma 规则匹配度的紫色团队验证循环工具。
Stars: 0 | Forks: 0
# purple-loop
紫色团队验证循环:在 Windows 主机上执行 Atomic Red Team 技术,
收集 Sysmon/Windows 事件日志事件,评估 Sigma 规则并与之匹配,
记录通过/失败结果。是 SOC 生命周期组合(项目 2/4)的一部分。
## 快速开始
```
pip install -e ".[dev]"
uvicorn purple_loop.api.app:create_app --factory --port 7001 --reload
```
打开 http://localhost:7001
## 设置(Windows)
安装 Atomic Red Team(以管理员身份运行):
```
.\scripts\setup_art.ps1
```
配置 `.env`:
```
DF_API_URL=http://localhost:8000
ART_PATH=C:\AtomicRedTeam\atomics
ALLOW_DESTRUCTIVE=false
LOG_CAPTURE_SECONDS=30
```
## 用法
1. 打开 http://localhost:7001/run
2. 粘贴 Sigma 规则和 ATT&CK 技术 ID
3. 点击 **运行验证**
4. 查看结果 — 匹配的事件、通过/失败、事件详情
## 架构
```
detection-forge API → atomic index → PowerShell ART execution
→ Get-WinEvent log collection
→ Sigma rule evaluation
→ SQLite storage → FastAPI + HTMX UI
```
## 运行测试
```
pytest tests/unit/ -v
```
## SOC 组合弧
| # | 项目 | 角色 |
|---|---------|------|
| 1 | detection-forge | 从 CTI → Sigma/YARA 构建检测 |
| 2 | **purple-loop** | 通过实际攻击执行验证检测 |
| 3 | threat-hunt-rag | 超越检测进行威胁狩猎(日志上的 RAG + CTI) |
| 4 | soc-copilot | 分类 + 响应(AI 分析师处理告警)
标签:AI合规, API 服务, API集成, Atomic Red Team, AV绕过, FastAPI, HTMX, portfolio-arc-2, PowerShell 执行, Purple Team, Sigma 规则, SOC 生命周期, SQLite, Sysmon, TGT, UI 界面, Windows 事件日志, 事件匹配, 可观测性, 域名分析, 安全开发生命周期, 攻防演练, 数据泄露检测, 日志收集, 检测即代码, 逆向工具, 验证循环