GreyNOC/Detections

# GreyNOC 检测 适用于兼容 GreyNOC 安全事件的公开安全检测规则包。 本仓库包含规则示例、schema、文档、事件规范化辅助工具以及一个规则验证器。它有意不包含私有的 GreyNOC 检测引擎、编排、告警评分、实体风险评分、案例构建、去重存储、高级关联逻辑或专有的 AI/prompt-abuse 指纹。 ## 快速入门 以可编辑模式安装该包： ``` python -m pip install -e . ``` 验证捆绑的示例规则： ``` python -m greynoc_detections.validate rules/examples ``` 规范化一个示例事件： ``` import json from pathlib import Path from greynoc_detections import normalize_security_event events = json.loads(Path("tests/sample_events.json").read_text()) print(normalize_security_event(events[0])) ``` 运行测试： ``` python -m pytest ``` ## 公开内容 - 规则格式文档。 - 通用示例检测规则。 - 用于规则结构的 JSON schema。 - 轻量级事件规范化。 - 安全的规则验证，包括针对 regex 模式的简单 ReDoS 检查。 - 针对 JSON 规则文件的 CLI 验证。 ## 未包含的内容 - 检测引擎编排。 - `DetectionEngine` 或 `evaluate()` 实现。 - 告警评分或实体风险评分。 - 案例构建或去重存储。 - 协同攻击、图或攻击链关联的内部机制。 - 私有 AI/prompt-abuse 指纹列表。 - 客户特定的阈值、IP、主机名、用户或示例。 ## 规则兼容性 规则仅包含数据。它们描述了公开检测器可能匹配的内容，但不附带私有的 GreyNOC 执行行为。私有部署在将规则加载到内部引擎之前，可以导入并验证这些规则。

标签：AMSI绕过, FTP漏洞扫描, GreyNOC, JSON, JSON Schema, Python, ReDoS防护, 事件规范化, 云计算, 关联分析, 告警评分, 威胁检测, 安全工程, 安全编排, 安全规则引擎, 安全防御工具, 数据验证, 文档结构分析, 无后门, 检测规则, 正则表达式安全, 网络安全, 网络资产发现, 规则引擎, 逆向工具, 隐私保护, 风险评分