cognis-digital/edrgap

# EDRGAP — EDR 覆盖与绕过检测器 — 协调 MDM + EDR + AD 清单 [](https://pypi.org/project/cognis-edrgap/) [](https://github.com/cognis-digital/edrgap/actions) [](LICENSE) [](https://github.com/cognis-digital) **EDR 覆盖与绕过检测器 — 协调 MDM + EDR + AD 清单。** *蓝队 / 防御 — 专为小型团队提供的检测、欺骗与监控。* ## 使用说明 — 逐步指南 1. 安装 CLI (控制台脚本: `edrgap`): pipx install "git+https://github.com/cognis-digital/edrgap.git" edrgap --version 2. 协调您的 AD/MDM/EDR 清单并打印覆盖缺口表: edrgap scan --ad ad.csv --mdm mdm.csv --edr edr.csv 3. 调整判定结果的标准 — 标记过期资产并提高严重性下限: edrgap scan --ad ad.csv --mdm mdm.csv --edr edr.csv --stale-days 14 --min-severity high 4. 输出供仪表盘或下游工具使用的机器可读 JSON: edrgap scan --ad ad.csv --mdm mdm.csv --edr edr.csv --format json > gaps.json jq '.[] | select(.severity=="high")' gaps.json 5. 在 CI 中，运行扫描并利用非零退出码在出现覆盖缺口时中断流水线: edrgap scan --ad ad.csv --mdm mdm.csv --edr edr.csv --min-severity high || exit 1 ## 为什么需要它 安全和情报团队需要 EDR 覆盖与绕过检测器 — 无需搭建重量级基础设施即可协调 MDM + EDR + AD 清单。`edrgap` 是单一用途、可脚本化、对 CI 友好且支持自托管的：将其指向目标，以您的工作流已适应的格式（表格、JSON、SARIF、HTML）获取优先级排序的发现结果，并在需要其自动化时通过 MCP 接入 agent。 ## 安装 ``` pip install cognis-edrgap # 或者，来自此 repo： pip install -e ".[dev]" ``` ## 快速开始 ``` edrgap --version edrgap scan demos/ # run against the bundled demo edrgap scan demos/ --format sarif --out r.sarif --fail-on high edrgap scan demos/ --format html --out report.html edrgap mcp # expose as an MCP server (Cognis.Studio / Claude Desktop / Cursor) ``` ## 内置演示场景 每个场景文件夹都包含一个 `SCENARIO.md`，用于描述情况和预期会出现的发现结果。 - [`demos/01-basic/`](demos/01-basic/SCENARIO.md) - [`demos/01-enterprise-200-endpoints/`](demos/01-enterprise-200-endpoints/SCENARIO.md) - [`demos/02-acquisition-merge/`](demos/02-acquisition-merge/SCENARIO.md) - [`demos/03-clean-shop/`](demos/03-clean-shop/SCENARIO.md) ## 输出格式 - **表格**（默认）— 人类可读的终端摘要 - **JSON** — 供流水线使用的机器可读发现结果 - **SARIF** — 可直接接入 GitHub 代码扫描 / IDE 问题面板 - **HTML** — 带有严重性汇总的可共享报告 ## 它如何融入 Cognis Neural Suite `edrgap` 是 [Cognis Neural Suite](https://github.com/cognis-digital) 中 **52 个工具**之一。每个工具都提供了一个 MCP server，因此 [Cognis.Studio](https://cognis.studio) agent 可以将它们作为受限范围内的能力进行调用。 **`blue-team` 中的同级工具：** [`sentrylog`](https://github.com/cognis-digital/sentrylog)、[`canarynet`](https://github.com/cognis-digital/canarynet)、[`phishforge`](https://github.com/cognis-digital/phishforge)、[`sbomgate`](https://github.com/cognis-digital/sbomgate)、[`honeytrace`](https://github.com/cognis-digital/honeytrace) ## 架构与路线图 - 设计说明：[`docs/ARCHITECTURE.md`](docs/ARCHITECTURE.md) - 规划工作：[`ROADMAP.md`](ROADMAP.md) ## 互操作性 `edrgap` 可与包含 300 多个工具的 Cognis 套件组合使用 — JSON 输入/输出以及共享的 OpenAI 兼容的 `/v1` 主干。有关套件图谱、组合模式和参考技术栈，请参阅 **[INTEROP.md](INTEROP.md)**。 ## 集成 通过 [`cognis-connect`](https://github.com/cognis-digital/cognis-connect) 将 `edrgap` 的发现结果转发至 STIX/MISP/Sigma/Splunk/Elastic/Slack/webhooks。请参阅 **[INTEGRATIONS.md](INTEGRATIONS.md)**。 ## 许可证 在 **Cognis Open Collaboration License (COCL) v1.0** 下源代码可见 — 个人、内部评估、研究和教育用途免费；**商业/生产用途需要获得许可证** (licensing@cognis.digital)。请参阅 [LICENSE](LICENSE)。 ## 负责任地使用 这是双用途安全软件。请仅针对您拥有或获得书面明确授权进行测试的系统、数据和身份使用，并遵守适用法律。 ## 关于 **[Cognis Digital](https://cognis.digital)** — 美国怀俄明州 · *让明天更美好：高级网络安全、AI 创新与区块链专业知识。*

标签：Blue Team, EDR, Python, 文档结构分析, 无后门, 脆弱性评估, 资产盘点, 逆向工具