Hollow7Mint/incident-response-workbench

# 事件响应工作台 事件响应工作台是一个小型 Python 服务，用于标准化安全事件、 将它们分组为事件、应用分级规则，并记录分析员操作的可审核 SQLite 记录。 该项目故意保持轻量级。运行时仅使用 Python 标准库， 这使得它在跳板机、实验机器或临时调查主机上易于运行， 而在这些环境中安装依赖项可能不方便。 ## 快速开始 ``` python -m incident_workbench.cli init --db ./workbench.sqlite python -m incident_workbench.cli ingest examples/sample_events.json --db ./workbench.sqlite python -m incident_workbench.cli list-incidents --db ./workbench.sqlite ``` 本地开发： ``` python -m pytest python -m incident_workbench.cli --help ``` ## 项目结构 - `src/incident_workbench/models.py` 包含不可变的域对象。 - `src/incident_workbench/storage/sqlite.py` 负责模式迁移和查询。 - `src/incident_workbench/rules/engine.py` 评估分级规则。 - `src/incident_workbench/service.py` 协调摄入和事件更新。 - `tests/` 覆盖解析、规则匹配和存储库行为。 ## 事件格式 输入文件为 JSON 数组。每个事件必须包含 `source`、`event_type`、 `observed_at`、`actor` 和 `target`。可选字段包括 `severity`、 `summary`、`attributes` 和 `dedupe_key`。

标签：AMSI绕过, Python标准库, SQLite存储, Triage规则, 事件关联, 事件分组, 事件溯源, 依赖最小化, 取证工作, 可审计记录, 威胁检测, 安全工具链, 安全编排自动化与响应(SOAR), 安全运营, 审计追踪, 工作台, 库, 应急响应, 开发调试, 快速部署, 扫描框架, 日志处理, 日志归一化, 测试驱动, 现场调查, 规则编排, 轻量级服务, 逆向工具