vyrox-security/vyrox-simulator

      Vyrox 模拟器提供确定性的、经过脱敏处理的警报负载生成，用于 Vyrox 摄取和分类流水线的集成测试和演示，而无需触碰生产租户。它作为一个独立的代码库存在，以便工程师和设计合作伙伴能够使用真实的输入来测试端到端行为，同时保持执行关键的开源核心代理可审计并隔离以供零信任安全审查。 网站：vyrox.dev（即将推出） ## 为何需要它 你不能在每次有人更改解析器或置信度阈值时，都针对真实的生产 CrowdStrike 租户运行真实的 SOC 集成测试。最好的情况是结果不一致。最坏的情况是在尝试测试一个虚假事件时，生成了一个真实的事件。 模拟器通过生成稳定的负载来解决这个问题，这些负载足够接近真实世界的警报结构，足以测试规范化、启发式模式匹配、队列和 Discord 路由。它的设计是“无聊”的，这对于回归测试来说是理想的。 将此工具独立出来也使得演示准备不那么脆弱。产品演示应依赖于确定性的固定数据，而不是实时的威胁遥测和运气。 ## 架构 ``` [Lua Scenario] | mimikatz.lua v [scripts/simulate.py] | executes Lua scenario | builds vendor-specific headers v [POST /webhook/] | local ingestion endpoint v [202 Accepted] ``` 模拟的负载覆盖包括 CrowdStrike 和 SentinelOne 的警报，定义为动态 Lua 场景。 ## 快速开始 前置条件： 1. Python 3.11+ 2. 在 `http://localhost:8001` 上运行本地 Vyrox 摄取服务 3. 与你本地摄取配置匹配的共享 webhook 密钥 4. 安装依赖项。 ``` # is a common translation) python -m pip install -r requirements.txt ``` 2. 运行一个 Lua 模拟场景。 ``` # - "requirements" -> "要求" or "需求" python scripts/simulate.py mimikatz \ --url http://localhost:8001/webhook \ --secret replace-with-64-hex-characters ``` 3. 验证响应表明已接受。 ``` # But the instruction says to keep technical jargon in English. "Runtime" is technical jargon, so perhaps keep it as "runtime". In the examples, 'API' is kept, which is jargon. So for "runtime", I should keep it in English. Similarly, "simulator" might be kept as "simulator". ``` ## 添加场景 新场景应作为 `.lua` 文件添加到 `scenarios/` 目录中。一个场景必须返回一个包含以下内容的表： - `name`：字符串 - `source`："crowdstrike" 或 "sentinelone" - `payload`：匹配供应商警报架构的表 ## 配置 | 变量 | 必需 | 默认值 | 描述 | | --- | --- | --- | --- | | N/A | 否 | N/A | 此代码库使用命令行标志，而非环境变量。 | ## 许可证 此代码库根据 MIT 许可证发布。详情请参阅 LICENSE。

标签：CrowdStrike, Lua, Python, rizin, SentinelOne, SOC测试, Webhook, 力导向图, 回归测试, 安全测试, 攻击性安全, 无后门, 测试工具, 演示工具, 网络安全, 警报模拟, 负载生成, 逆向工具, 隐私保护, 集成测试, 零信任安全