yannhowe/falcon-cloud-risk-rules

# falcon-cloud-risk-rules 从 CloudPolicies API 获取 CrowdStrike Falcon **云风险规则定义** 并将其导出为 JSON 或 CSV 格式。 云风险规则是系统管理的策略，用于定义复合安全风险——由配置错误、漏洞、互联网暴露和身份问题组合而成的风险。截至 2026 年 6 月，共有 49 条规则（8 条关键，17 条高，21 条中，3 条低）。 ## 要求 - Python 3.10+ - 具有读取 `cloud-security-policies` 范围的 Falcon API 客户端 ## 安装 ``` pip install -r requirements.txt ``` ## 认证 凭证按以下顺序解析： 1. **CLI 标志** — `--client-id` / `--client-secret` 2. **环境变量** — `FALCON_CLIENT_ID` / `FALCON_CLIENT_SECRET` 3. **macOS Keychain** — 基于配置文件的查找（CrowdStrike 内部使用） ## 使用 ``` # 打印格式化表格到终端 python fetch_rules.py # 输出 JSON 到 stdout python fetch_rules.py --json # 将 JSON 保存到文件 python fetch_rules.py --json -o rules # 将 CSV 保存到文件 python fetch_rules.py --csv -o rules # 同时保存 JSON 和 CSV python fetch_rules.py --json --csv -o rules # 按严重性过滤 python fetch_rules.py --json --severity critical # 显式凭证 python fetch_rules.py --client-id $ID --client-secret $SECRET --region us-1 --json -o rules ``` ## 环境变量 | 变量 | 描述 | |---|---| | `FALCON_CLIENT_ID` | OAuth2 客户端 ID | | `FALCON_CLIENT_SECRET` | OAuth2 客户端密钥 | | `FALCON_CLOUD_REGION` | 区域：`us-1`（默认），`us-2`，`eu-1`，`us-gov-1` | ## 输出 ### JSON 规则对象的数组。键字段： | 字段 | 类型 | 描述 | |---|---|---| | `uuid` | string | 规则 UUID | | `name` | string | 规则名称 | | `severity` | integer | 0=关键，1=高，2=中，3=低 | | `severity_label` | string | 可读性严重性 | | `description` | string | 规则检测的内容 | | `remediation_info` | string | 如何修复 | | `risk_factors` | string | 贡献风险因素 | | `enabled` | boolean | 规则是否激活 | ### CSV 与 JSON 相同的字段，将列表值（提供者，风险因素）序列化为逗号分隔的字符串。 ## 规则分类 云风险规则具有 `domain=CSPM` 和 `subdomain=CloudRisk`。它们与以下内容不同： - **IOM 规则** (`subdomain=IOM`) — 单个策略违规 - **洞察规则** (`subdomain=Insight`) — 单个信号发现 - **IaC 规则** (`subdomain=IAC`) — 基础设施即代码扫描结果 ## 许可证 MIT

标签：CrowdStrike, CSV格式, Falcon Cloud, JSON格式, 严重性等级, 互联网暴露, 安全策略, 提示词设计, 数据导出, 漏洞, 环境变量, 认证, 身份问题, 逆向工具, 风险检测