SynthicsoftLabs/SynthicSecurity-Pipeline-Windows-Edition-

# SynthicSecurity - 自主网络安全防御套件 ### Aegis 版本 v5.1 · 由 Synthicsoft Labs 开发 **作者:** Adam Rivers，CEO — Synthicsoft Labs **平台:** Windows · PowerShell 5.1+ **要求:** 管理员权限 ## 概述 SynthicSecurity 是一款针对 Windows 的专业级、完全自主的端点检测和响应 (EDR) 套件。它不需要第三方代理、不需要云订阅，也不需要配置——运行一条命令即可捕获取证基线、加固系统、在 50+ 持久点中搜索威胁，并使用基于剧本的事故响应自动修复发现的问题。 所有证据都保存在带时间戳的会话包中，以便事故后审查。 ## 快速入门 ``` # 全自主运行 — 检测、加固、修复和打补丁 .\Invoke-SecuritySuite.ps1 -FullScan -ApplyRemediation -ApplyHardening -ApplyPatches # 只读评估 — 不做任何更改 .\Invoke-SecuritySuite.ps1 -FullScan -DryRun ``` ## 管道阶段 | 阶段 | 模块 | 执行的操作 | |-------|--------|-------------| | 1 | **取证** | 在任何更改之前捕获 BCD 配置、WinRE 状态、二进制哈希、DNS 缓存和网络快照 | | 2 | **加固** | 禁用 LLMNR/NetBIOS、启用 Defender 实时保护、激活 PowerShell 脚本块记录和命令行审计 | | 3 | **泰坦检测引擎** | 按顺序运行所有检测模块（见下文） | | 4 | **智能修复** | 为每种检测类型执行针对性的 IR 剧本 | | 5 | **修补** | 获取 CISA KEV 源，应用 Windows 和第三方更新，验证修补后关键服务健康状态 | ### 检测模块 - **威胁检测引擎** — Sigma 映射的注册表持久性、WMI 事件消费者、可疑启动文件、用户可写路径中的未签名进程和 PowerShell 脚本块分析 - **行为启发式** — 对进程注入、DLL 旁路加载和 Living-off-the-Land (LotL) 二进制滥用进行 MITRE ATT&CK 模式匹配 - **ASEP 猎手** — 深度扫描 50+ Windows 自动启动扩展点，包括 Run 键、Winlogon 值、LSA 提供者和会话管理器条目 - **网络守护者** — 对 Feodo、ThreatFox 和 URLhaus 威胁情报源进行实时连接审计 - **磁盘 IOC 猎手** — 对 Temp、AppData 和公共目录进行递归 MD5/SHA256 哈希扫描，与 MalwareBazaar 进行匹配 - **勒索软件哨兵** — 在用户目录中部署诱饵文件，检测未授权的修改或删除，指示正在进行的加密 - **欺骗模块** — 诱饵文件触发器，在未授权访问时立即触发主机隔离 - **内存守护者** — 检测进程空心化、可疑父进程（lsass、svchost）和加载到高价值进程中的未签名模块 ## 参数 | 参数 | 描述 | |-----------|-------------| | `-FullScan` | 运行完整的泰坦检测引擎 | | `-ApplyRemediation` | 为所有检测执行 IR 剧本 | | `-ApplyHardening` | 将安全基线应用到操作系统上 | | `-ApplyPatches` | 运行漏洞管理和更新验证 | | `-DryRun` | 检测和记录威胁而不进行任何更改 | | `-LogRoot` | 覆盖默认日志目录（默认：`C:\ProgramData\SynthicSecurity\Logs`） | ## 修复剧本 | 威胁类型 | 自动响应 | |-------------|-------------------| | ASEP 异常 | 将注册表值重置为已知良好状态 | | 勒索软件 / 欺骗触发器 | 禁用所有网络适配器以隔离主机 | | 已知恶意二进制（IOC 匹配） | 终止进程并将文件隔离 | | 恶意网络连接 | 终止相关进程 | | 可疑路径中的未签名进程 | 终止进程并将二进制隔离 | | 可疑 DLL 旁路加载 | 将 DLL 隔离到证据目录 | | WMI 事件消费者 | 从 `root\subscription` 中删除订阅 | ## 情报源 威胁情报本地缓存并自动刷新每次运行： | 源 | 来源 | 用途 | |------|--------|---------| | Feodo Tracker | abuse.ch | 恶意 IP（C2 恶意软件基础设施） | | MalwareBazaar | abuse.ch | 与实时进程的 MD5 哈希匹配 | | ThreatFox | abuse.ch | SHA256 哈希匹配 | | URLhaus | abuse.ch | 恶意 URL/域名检测 | | CISA KEV | cisa.gov | 优先 Windows 漏洞修补 | ## 证据与日志 每个会话将自包含的证据包写入： ``` C:\ProgramData\SynthicSecurity\Logs\Session_[YYYYMMDD-HHmmss]\ ├── master_orchestrator.log ├── Forensics\ # BCD export, binary hashes, network snapshot, DNS cache ├── Detection\ # Threat report (JSON) and detection log ├── ASEP\ # Persistence point scan results ├── Ransomware\ # Canary deployment and audit log ├── Remediation\ # Quarantined files and registry change log └── Patching\ # CISA KEV data, update results, service verification ``` ## 要求 - Windows 10 / Windows 11（PowerShell 5.1 或更高版本） - 管理员权限 - 推荐互联网访问（用于实时威胁情报源和修补）；所有模块在离线时均能优雅降级 ## 模块 | 文件 | 描述 | |------|-------------| | `Invoke-SecuritySuite.ps1` | 主要协调器 — 运行完整管道 | | `modules/forensics.ps1` | 启动完整性和系统快照 | | `modules/hardening.ps1` | 强制执行操作系统安全基线 | | `modules/threat-detection.ps1` | 核心检测引擎 | | `modules/heuristics.ps1` | 行为模式分析 | | `modules/asep-hunter.ps1` | 持久点扫描 | | `modules/network-guardian.ps1` | 实时连接审计 | | `modules/disk-hunter.ps1` | 基于哈希的磁盘 IOC 扫描 | | `modules/ransomware-sentinel.ps1` | 诱饵文件部署和监控 | | `modules/deception.ps1` | 诱饵文件触发器管理 | | `modules/memory-guardian.ps1` | 内存威胁检测 | | `modules/remediation.ps1` | IR 剧本执行 | | `modules/patching.ps1` | 漏洞管理和更新验证 | | `modules/intelligence.ps1` | 威胁源摄取和缓存 | *© 2026 Synthicsoft Labs. 由 Adam Rivers，CEO 开发。*

标签：AI合规, Libemu