cfoudysec/hayabusa-rule-deck

GitHub: cfoudysec/hayabusa-rule-deck

一个基于MCP协议的概念验证项目，通过Node脚本将Hayabusa/Sigma检测规则元数据自动渲染为赛博朋克风格的PowerPoint演示文稿。

Stars: 0 | Forks: 0

# hayabusa-rule-deck 一个赛博朋克猫主题的 PowerPoint 演示文稿，以编程方式从 MCP 工具输出生成，重点介绍了三个真实的 [Hayabusa](https://github.com/Yamato-Security/hayabusa) / Sigma 检测规则。 ![标题幻灯片](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/05968c1c03113019.png) ![杀毒软件勒索软件检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/0e5a5d875a113022.png) ![PSExec 横向移动](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/82cbb4d339113025.png) ![Turla 组织横向移动](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b57b6d03fa113028.png) ## 这是什么一个小型概念验证，展示了封装为 MCP 的安全工具如何为**文档生成流水线**提供数据——该 MCP 既能扫描 EVTX 文件供 Claude 使用，也能提取规则元数据并将其渲染到简报幻灯片中。演示文稿是最终交付物。脚本（`build.js`）才是有趣的部分。 ## 演示文稿包含的内容四张 16:9 比例的幻灯片，采用深色赛博朋克调色板、霓虹粉/青色/紫色，并带有猫和爪印图案： | # | 幻灯片 | 严重程度 | 来源 | |---|-------|----------|--------| | 1 | 标题 — *Hayabusa 规则 // 赛博朋克猫侦察* | — | — | | 2 | 杀毒软件勒索软件检测 (T1486 — 影响) | critical | sigma upstream | | 3 | PSExec 横向移动 (T1021.002 — SMB / 管理共享) | high | hayabusa builtin | | 4 | Turla 组织横向移动 (T1021 / T1059 — APT) | critical | sigma upstream | 每张规则幻灯片均采用一致的双卡片布局： - **元数据 (METADATA)** 卡片（左） — `RULE_ID`、`LEVEL`、`STATUS`、`AUTHOR`、`PATH` - **简报 (BRIEFING)** 卡片（右） — *它能检测什么* + *为什么重要* 视觉设计刻意不落俗套：深紫色电路网格背景、霓虹扫描条、按严重程度着色的胶囊按钮、发光边框以及一排爪印装饰。 ## 构建方式 1. 配套仓库 [**hayabusa-mcp**](https://github.com/cfoudysec/hayabusa-mcp) 提供了一个 `get_hayabusa_rules` MCP 工具，可返回 JSON 格式的规则元数据。 2. 选择了三个规则——一个勒索软件、一个横向移动、一个 APT——以涵盖不同的严重程度和状态（`stable` 与 `test`），使该演示文稿不仅是一个视觉展示，也是关于 Sigma 规则生命周期的小型教学时刻。 3. `build.js`（Node + [pptxgenjs](https://github.com/gitbrent/PptxGenJS)）组合生成演示文稿：通过 [react-icons](https://react-icons.github.io/react-icons/) 加载图标 → 使用 [sharp](https://sharp.pixelplumbing.com/) 将其栅格化 → 运用霓虹样式组装每张幻灯片。 4. 赛博朋克网格背景生成为内联 SVG，并作为 base64 PNG 嵌入，因此演示文稿没有外部图片依赖。 ## 自行运行 ``` git clone https://github.com/cfoudysec/hayabusa-rule-deck.git cd hayabusa-rule-deck npm install node build.js # → 已写入 hayabusa-poc.pptx ``` `hayabusa-poc.pptx` 已包含在仓库中，因此您无需运行脚本即可查看结果。 ## 为什么做这个？为了提醒大家，MCP 服务器是一个构建块，而不是最终目的。一旦工具能用 JSON 回答*“有哪些严重程度为 high 的 Turla 规则？”*，相同的数据就能用于驱动 SOC 工单、威胁情报邮件、高管简报或赛博朋克风格的演示文稿。选择制作演示文稿只是因为更有趣。 ## 致谢 - [Hayabusa](https://github.com/Yamato-Security/hayabusa) 及其上游的 [Sigma](https://github.com/SigmaHQ/sigma) 规则集 - [pptxgenjs](https://github.com/gitbrent/PptxGenJS)、[react-icons](https://react-icons.github.io/react-icons/)、[sharp](https://sharp.pixelplumbing.com/) - 作为 *实用 AI 网络防御运维* 培训的一部分构建（模块 3 展示作品）

标签：AMSI绕过, APT攻击, EVTX分析, Hayabusa, MCP, MITM代理, PE 加载器, PPT生成, Sigma规则, Turla组织, 勒索软件检测, 威胁检测, 安全简报, 数字取证, 数据展示, 文档自动化, 横向移动, 演示文稿, 目标导入, 端点安全, 红队, 编程规范, 网络安全, 自动化脚本, 补丁管理, 赛博朋克, 隐私保护