cognis-digital/comint-osquery

GitHub: cognis-digital/comint-osquery

一款基于 osquery 的 DISA STIG 对齐主机遥测工具，可将扫描结果映射到 NIST/STIG/ATT&CK 并输出多种合规报告格式，支持 RMF 流水线集成。

Stars: 1 | Forks: 0

# comint-osquery — 基于 osquery 的 STIG 对齐主机遥测 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0d91fef541073343.svg)](https://github.com/cognis-digital/comint-osquery/actions) [![Classification](https://img.shields.io/badge/classification-UNCLASSIFIED-green.svg)](./UPSTREAM.md) ## 使用说明 — 分步指南 1. **安装** 整个生态系统的共享库（只需一次），然后安装此工具的 `comint-osquery` 命令： pip install cognis-mil # 共享库（只需一次） pip install -e . # 此工具 2. **运行扫描** 以获取 STIG 对齐的主机遥测数据 — 位置参数 `target` 是一个路径（默认为 `.`）： comint-osquery . 3. **设置涉密标识横幅**（操作员提供的占位符；工具本身不对其进行解析），并选择输出格式（`console`、`json`、`markdown`、`sarif`、`oscal`）： comint-osquery . --classification "UNCLASSIFIED//FOR PUBLIC RELEASE" --format json 4. **将报告写入文件** 以供审查或取证： comint-osquery . --format oscal --out comint.oscal.json 5. **使用 `--fail-on` 阻断 CI / RMF 流水线**（`very_high|high|moderate|low|none`），当发现的问题达到指定严重程度时，将退出并返回状态码 `1`： - run: pip install cognis-mil && pip install -e . - run: comint-osquery . --fail-on high --format sarif --out comint.sarif ## 上游来源 Fork/封装自 **https://github.com/osquery/osquery**。请参阅 [`UPSTREAM.md`](./UPSTREAM.md) 了解其授权许可说明、支持的提交版本以及如何进行升级。 ## 针对军方 / 情报界 (IC) 用途的附加功能 - 8 个（并持续增加中）以 osquery pack 形式提供的 DISA STIG 查询规则 - 结果映射器可将原始 osquery 数据行 → 转换为 NIST/STIG/ATT&CK 发现结果 - OSCAL 评估结果生成器，支持导入至 eMASS/Xacta ## 安装 ``` # 共享库（整个 ecosystem 仅需一次）： pip install -e ../../shared # 此工具： pip install -e . ``` ## 演示 ``` comint-osquery demos/01-failing-host/ ``` 支持五种输出格式 — 所有格式均遵循操作员通过 `--classification` 提供的涉密标识横幅： ``` comint-osquery --format=console # default comint-osquery --format=json comint-osquery --format=sarif # for code-scanning pipelines comint-osquery --format=markdown # for PRs / briefings comint-osquery --format=oscal # OSCAL Assessment Results skeleton ``` ## 涉密标识横幅所有输出均由操作员提供的涉密标识横幅包装。 **默认值**：`UNCLASSIFIED//FOR PUBLIC RELEASE`。 ## 合规性映射表（内置）每项发现结果均可包含以下引用： - **NIST 800-53 Rev 5** 控制项（例如 `AC-2(1)`） - **DISA STIG** 规则 ID（例如 `V-242414`） - **MITRE ATT&CK** 技术 ID（例如 `T1078`） - **CCI**（控制相关性标识符）这些内容将输出至 JSON、SARIF 以及 OSCAL 骨架文件中。 ## CI / RMF 集成 ``` - name: comint-osquery scan run: | pip install cognis-comint-osquery comint-osquery . --format=oscal --out=assessment-results.json --fail-on=high - name: Upload to eMASS/Xacta run: cognis-rmf-package import assessment-results.json ``` ## Cognis Digital 军方 / 情报界 (IC) 生态系统的一部分包含 12 个代码仓库。均采用 MIT/Apache-2.0/GPL-3 许可证（根据上游要求）。除非另有说明，Cognis 的附加代码均采用 Apache-2.0 许可证。请参阅[主索引](../../MASTER-INDEX.md)。 ## 互操作性 `comint-osquery` 可与包含 300 多个工具的 Cognis 套件组合使用 — 支持 JSON 输入/输出以及共享的 OpenAI 兼容 `/v1` 骨干架构。请参阅 **[INTEROP.md](INTEROP.md)** 了解套件图谱、组合模式及参考技术栈。 ## 集成通过 [`cognis-connect`](https://github.com/cognis-digital/cognis-connect) 将 `comint-osquery` 的发现结果转发至 STIG/MISP/Sigma/Splunk/Elastic/Slack/webhooks。请参阅 **[INTEGRATIONS.md](INTEGRATIONS.md)**。

标签：osquery, Python, RMF, STIG, 安全合规, 无后门, 网络代理, 运维安全, 逆向工具