rayyan-umair/SIEMulate

# SIEMulate **本地优先的检测智能与实体关联引擎** 将原始传感器数据转化为**攻击链叙述而非警报噪音**的判断层。 由 Rayyan Umair 构建 —— *技术演进日新月异，责任意识永恒不变。* # 功能概述 SIEMulate 从 LogClaw、PacketStrike 和 DNStalon 摄取结构化事件，根据实时的 Sigma 规则库对它们进行评估，并跟踪每个实体（用户、主机、IP）长期的行为状态，从而生成： * 经过风险评分的实体配置文件 * 相关的攻击链重建 * 可解释的 5W+H 调查报告 * 自动生成的 DuckDB 调查查询 * MITRE ATT&CK 技术映射 每次检测都会变成一份**人类可读的升级报告**： ### 不再是原始的规则匹配： SIGMA MATCH: suspicious_powershell.yml — host: WKSTN-04 SIGMA MATCH: lateral_movement_smb.yml — host: WKSTN-04 ### 您将获得： * WHO（谁）触发了它（实体 + 风险评分） * WHAT（什么）被检测到（纯英文 Sigma 摘要） * WHERE（在哪）发生（源主机 + 目标资产） * WHEN（何时）链开始与当前时间的对比 * WHY（为何）触发（精确的 Sigma 选择逻辑） * HOW（如何）调查（自动生成的 DuckDB SQL 查询） 没有 SIEM 的复杂性。没有警报疲劳。无需手动关联。 # 系统概述 SIEMulate 是一个围绕三个核心子系统构建的单进程智能引擎： ## Sigma 引擎 检测层。 负责： * 通过 pySigma 加载 Sigma YAML 规则 * 对传入事件进行实时规则评估 * 无需重启即可热重载规则 * 兼容社区规则 ## 关联引擎 判断层。 负责： * 实体状态跟踪（用户、主机、IP） * 风险评分累积和时间衰减 * 攻击链检测（在 15 分钟时间窗口内触发的规则） * 升级报告生成 * MITRE ATT&CK 技术映射 ## 重放引擎 模拟层。 负责： * 摄取历史 JSON 日志文件 * 可配置速度的快进回放 * 对重放事件触发现场警报 * 针对已知攻击的规则回归测试 # 核心概念 SIEMulate 不会将规则匹配视为警报。 它将其视为： # 通用事件模式 每个入站事件都会被规范化为： ``` { "event_id": "uuid", "timestamp": "UTC ISO8601", "source": "logclaw | packetstrike | dnstalon | replay", "entity": { "name": "admin", "type": "user | host | ip", "host": "WKSTN-04" }, "event": { "type": "auth | process | network | config | dns", "action": "login | execute | connect | modify", "severity": 0 }, "mitre": { "technique_id": "T1059.001", "tactic": "Execution" }, "raw_payload": { } } ``` # 快速开始 ## 1. 安装依赖 ``` pip install -r requirements.txt ``` ## 2. 添加 Sigma 规则 将任何 Sigma YAML 规则文件放入 `rules/` 目录： ``` rules/ suspicious_powershell.yml lateral_movement_smb.yml brute_force_login.yml ``` 社区规则：https://github.com/SigmaHQ/sigma ## 3. 启动 SIEMulate ``` python main.py ``` 运行内容： * FastAPI 服务器（默认：`http://0.0.0.0:8002`） * Sigma 规则引擎 * 关联引擎 * 位于 `ws://localhost:8002/ws/alerts` 的 WebSocket 流 ## 4. 重放历史攻击 ``` POST http://localhost:8002/replay/start { "file": "attack_log.json", "speed": 10.0 } ``` # 风险评分 SIEMulate 为每个实体维护一个 0-100 的风险评分。 | 评分 | 等级 | 含义 | |-------|----------|----------------------------------------| | 0–24 | 低 | 正常活动，未被检测到 | | 25–49 | 中 | 触发了一个或多个规则 | | 50–74 | 高 | 触发了多个规则，可能正在形成攻击链 | | 75+ | 危急 | 攻击链已确认 —— 需立即采取行动 | 风险评分会随时间衰减。无异常行为的实体会自动冷却。 # 攻击链重建 核心杀手级功能。 当两个或多个不同的 Sigma 规则在同一个实体上于 15 分钟的关联时间窗口内触发时，SIEMulate 会重建攻击链： 初始访问 ↓ 凭证滥用 [T1110 — 10:22 UTC] ↓ 可疑执行 [T1059 — 10:24 UTC] ↓ 权限提升 [T1068 — 10:31 UTC] ↓ 横向移动 [T1021 — 10:38 UTC] 每个阶段都链接回： * 触发的 Sigma 规则 * 触发该规则的原始日志事件 * 自动生成的调查 SQL 查询 # 5W+H 调查引擎 每个警报都会被转换为： | 组件 | SIEMulate 输出 | |-----------|----------------| | **WHO（谁）** | 实体名称 + 风险评分（例如 "admin — Risk 82/100"） | | **WHAT（什么）** | 纯英文的 Sigma 规则摘要 | | **WHERE（哪里）** | 源主机 + 目标资产 | | **WHEN（何时）** | 攻击链开始时间 vs. 当前检测时间戳 | | **WHY（为何）** | Sigma YAML 中的确切 `selection` 逻辑 | | **HOW（如何）** | 自动生成的 DuckDB SQL 调查查询 | # Sigma 规则支持 SIEMulate 使用 pySigma 进行原生 Sigma YAML 解析。 支持： * 标准 Sigma 字段映射 * 条件逻辑（and、or、not、1 of、all of） * YAML 规则热重载（无需重启） * 社区规则包（SigmaHQ/sigma） # 重放引擎 上传包含历史日志事件的 `.json` 文件，SIEMulate 将通过完整的检测管道重放它们 —— 就像攻击正在实时发生一样，触发警报、构建攻击链并对实体进行评分。 应用场景： * 针对已知攻击测试新的 Sigma 规则 * 在面试中演示该平台 * 规则更改后的回归测试 * 使用真实事件数据训练检测逻辑 # AI 层（可选） 不强制要求使用 AI。 启用后，它的作用是： 它可以： * 用通俗易懂的英文解释攻击链 * 总结实体风险概况 * 建议下一步调查方向 * 生成事件报告 它不能： * 编写检测逻辑 * 取代关联引擎 * 伪造日志证据 支持的提供商： * 本地 LLM（Ollama / llama.cpp） * OpenAI * Gemini * Groq * 禁用模式（完全离线） # NetRaptor 生态系统 SIEMulate 是 NetRaptor 平台的**检测智能层**。 它消费来自以下组件的行为数据： * **LogClaw** — 结构化日志事件（端口 8000） * **PacketStrike** — 网络行为打击（端口 8001） * **DNStalon** — DNS 行为信号（端口 8003） 并将丰富的攻击上下文反馈给： * **TalonResponse** — 事件响应终端 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ NetRaptor 生态系统的一部分。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ # 硬性约束 * Sigma 引擎仅执行检测 * 关联引擎执行所有的攻击链逻辑 * DuckDB 是唯一的权威数据源 * 所有地方均强制使用 UTC 时间 * 事件必须符合模式规范 * 重放引擎使用与实时模式完全相同的管道 # 法律声明 SIEMulate 是一款防御性网络安全工具。 仅限在您拥有或获得明确授权监控的系统上使用。 未经授权的日志收集或监控在您所在的司法管辖区可能是违法的。作者对滥用行为不承担任何责任。

标签：5W+H调查, AI风险缓解, AMSI绕过, Cloudflare, DuckDB, HTTP/HTTPS抓包, MITRE ATT&CK, PE 加载器, pySigma, Sigma规则, 关联规则, 告警降噪, 威胁情报, 威胁检测, 安全事件响应, 安全调查, 安全运营, 实体关联引擎, 实体风险追踪, 开发者工具, 态势感知, 扫描框架, 攻击模拟, 攻击链还原, 日志回放, 本地优先, 检测智能, 目标导入, 端点检测, 网络安全, 自动化响应, 行为关联分析, 逆向工具, 隐私保护, 驱动签名利用