EshwarReddyD7/logforge

# LogForge 迷你 SIEM，可摄取 Sysmon、auditd 和 AWS CloudTrail 日志，匹配 Sigma 风格的 YAML 规则，并使用 MITRE ATT&CK 技术标记检测结果。附带预设的攻击场景日志，使演示能够立即展示效果。   ## 功能 - 可插拔的日志解析器（Sysmon JSON、auditd KV、CloudTrail JSON） - Sigma-lite YAML 规则：`selection:` + 可选 `condition:`（默认：字段之间进行 AND 运算） - 每条规则对应 ATT&CK 技术映射 - Timeline + alert API（FastAPI） - 预设数据：凭据转储、持久化、可疑的 IAM 使用 ## 架构 ``` flowchart LR L1[Sysmon] --> P[Parsers] L2[auditd] --> P L3[CloudTrail] --> P P --> norm[Normalized Events] norm --> rules[Rule Engine] rules --> a[Alerts + ATT&CK] a --> api[FastAPI] ``` ## 快速开始 ``` docker compose up --build curl http://localhost:8000/alerts ``` ## 许可证 MIT

标签：AMSI绕过, API, auditd, AV绕过, AWS CloudTrail, Cloudflare, Docker, FastAPI, MITRE ATT&CK, Python, Sigma规则, Sysmon, YAML, 凭据转储, 嗅探欺骗, 威胁检测, 子域名变形, 安全信息与事件管理, 安全库, 安全防御评估, 开源安全工具, 搜索引擎爬取, 攻击模拟, 无后门, 权限维持, 目标导入, 端点安全, 网络安全, 补丁管理, 请求拦截, 逆向工具, 逆向工程平台, 速率限制, 隐私保护, 驱动签名利用