z3f1r0/openrelik-worker-chainsaw
GitHub: z3f1r0/openrelik-worker-chainsaw
将 Chainsaw 集成为 OpenRelik 工作节点,利用内置和 Sigma 规则对 Windows 事件日志进行自动化威胁检测。
Stars: 0 | Forks: 0
# OpenRelik worker - Chainsaw Hunt
## 描述
该 worker 将 [Chainsaw](https://github.com/WithSecureLabs/chainsaw) 集成到 OpenRelik 中,利用 Chainsaw 自身的检测规则和 Sigma 规则,对 Windows Event Log 文件 (EVTX) 进行搜索。
该 worker 会对作为输入提供的所有 EVTX 文件运行 `chainsaw hunt`,为每个检测类别生成一个 CSV 输出文件。它使用了:
- Chainsaw 内置的 EVTX 检测规则
- Sigma 规则(与 Chainsaw 发行版捆绑)
- `sigma-event-logs-all.yml` 字段映射
Chainsaw 二进制文件及所有规则会在构建时捆绑到 Docker 镜像中。每次新的镜像构建都会自动下载最新的 Chainsaw 发行版。
## 部署
将以下内容添加到你的 OpenRelik `docker-compose.yml` 中:
```
openrelik-worker-chainsaw:
container_name: openrelik-worker-chainsaw
image: ghcr.io/z3f1r0/openrelik-worker-chainsaw:latest
restart: always
environment:
- REDIS_URL=redis://openrelik-redis:6379
- OPENRELIK_PYDEBUG=0
volumes:
- ./data:/usr/share/openrelik/data
command: "celery --app=src.app worker --task-events --concurrency=4 --loglevel=INFO -Q openrelik-worker-chainsaw"
# ports:
# - 5678:5678 # For debugging purposes.
```
## 测试
```
uv sync --group test
uv run pytest -s --cov=.
```
标签:Celery, Chainsaw, Docker, EVTX, OpenRelik, Python, Redis, Sigma规则, SOC工具, Windows事件日志, YAML, 子域名变形, 安全库, 安全运营, 安全防御评估, 容器化部署, 扫描框架, 搜索引擎查询, 数字取证, 无后门, 检测规则, 漏洞发现, 目标导入, 网络安全, 网络安全审计, 网络资产发现, 自动化分析, 自动化脚本, 请求拦截, 跨站脚本, 逆向工具, 隐私保护