MohsenBah/AIWall-detections

# AIWall-detections 用于 AIWall 安全事件和 AI 流量监控的检测规则、仪表板和验证内容。 本仓库将 AIWall 审计日志转化为可操作的安全监控：Wazuh 规则、Sigma 规则、Grafana 仪表板、Loki 查询和响应 Playbooks。 ## 状态 **占位仓库。** 内容将在 [AIWall](https://github.com/MohsenBah/AIWall) 输出稳定的审计日志（产品路线图的第 6 阶段）后添加。 目前请不要期望这里已有可用的规则或仪表板。 ## 目的 AIWall 在允许、警告、阻止或脱敏 AI 流量时会生成结构化事件。本仓库为安全团队打包了这些遥测数据： | 内容 | 描述 | |---|---| | **Wazuh 规则** | 用于 AIWall 审计事件的解码器和规则 | | **Sigma 规则** | 适用于 SIEM 平台的通用检测逻辑 | | **Grafana 仪表板** | 使用情况、阻止情况、机密泄露和成本面板 | | **Loki 查询** | 用于 AI 流量监控的日志查询 | | **Playbooks** | 针对常见 AI 安全事件的响应指南 | | **MITRE ATLAS 映射** | 将检测映射到对抗性 ML 技术 | ## 计划结构 ``` AIWall-detections/ ├── docs/ │ ├── data-sources.md │ ├── detection-roadmap.md │ ├── coverage-matrix.md │ ├── mitre-atlas-mapping.md │ └── validation-results.md ├── wazuh/ │ ├── decoders/ │ ├── rules/ │ └── tests/ ├── sigma/ │ └── rules/ ├── grafana/ │ └── dashboards/ ├── loki/ │ └── queries/ ├── validation/ │ ├── samples/ │ └── validate_rules.py └── playbooks/ ├── secret-leak-detected.md ├── child-safety-block.md └── suspicious-agent-action.md ``` ## 与 AIWall 的关系 ``` AIWall (core product) | +-- emits audit events (JSON) | v AIWall-detections (this repo) | +-- Wazuh / Sigma / Grafana / Loki content +-- validation samples and playbooks ``` 一旦 AIWall 审计事件被记录在案，本仓库即可独立使用。您可以将这些规则调整为适用于其他发出类似事件 schema 的 AI 网关部署。 ## 前置条件 - 一个正在运行的 AIWall 实例，用于将审计日志转发到您的 SIEM 或日志技术栈 - Wazuh、Grafana/Loki 或兼容 Sigma 的 SIEM（取决于您使用的内容） 首批检测包发布时将添加设置说明。 ## 贡献 一旦事件 schema 和首个规则包发布，欢迎贡献。在提交时请使用 DCO 签名。 ## 许可证 [Apache License 2.0](LICENSE)

标签：AI安全, Chat Copilot, DLL注入, SIEM规则, Wazuh, 安全响应, 安全监测, 流量审计, 逆向工具