disintegr8te/bachsiem-lab-evidence

# bachsiem — SIEM 实验室证据包 可重复性和完整性 Bundle 用于 IU 项目报告 **DLBCSEEISC02_D — “使用 SIEM 系统进行攻击和入侵检测"**（Wazuh 4.9.2 的开源 SIEM、Suricata 7.0.15、Wazuh Indexer/Dashboard；5 个攻击场景，21 个回放）。 实验室会话：`2026-05-15T102848Z` · UTC 实验窗口 `10:29:39Z`–`11:47:12Z`。 这些工件未经修改来自实验室；此存储库是报告中引用的、公开可验证的证据。 ## 结构 - `dashboards/` — 10 个 Wazuh 仪表板截图（安全概览、按规则警报、顶级源 IP、MITRE ATT&CK 热图、警报时间线 S1/S3/S5、Suricata SIDs、主动响应日志、代理概览）。 - `data/` — 原始/摘录工件： - 测量分析：`metrics.json`、`metrics.csv`（TP 警报、FPR、MTTD、AR 比率，n=21） - 规则/配置：`local_rules.xml`、`bachsiem.rules`、`ossec.conf.ar-snippet.xml`、`suricata.yaml.diff`、`docker-compose.yml` - 主动响应：`bachsiem-ar-log.sh`、`active-responses.first8-triggers.log`、`active-responses.head200.log` - 原始摘录（头部）：`wazuh-archives.head3.pretty.json` / `…head200.json`、`suricata-eve.head3.pretty.json` / `…head200.json`、`baseline.json` - `wordlist.txt` — Hydra 强制破解词表（S1；`weakpass` 位于第 150 位） - `evidence.sha256` — 所有文件的 SHA-256 校验和（`sha256sum -c evidence.sha256`）。 ## 检查完整性 ``` sha256sum -c evidence.sha256 ``` PDF（附录 A.21）中列出的 SHA-256 值与此存储库中的文件相匹配。 ## 注意 由于大小原因，实验室会话的完整原始存档（Wazuh-Archives ~210 MB，Suricata-EVE ~30 MB，主动响应日志 ~50 MB）作为代表性的 `head` 摘录提供；`metrics.json`/`metrics.csv` 中的数字是从完整数据计算的（`compute_metrics.py`）。不包含个人信息；IP 是 RFC-1918 实验室地址。

标签：Metaprompt, 请求拦截