atraxsrc/umbrasec

# UMBRASEC **防御性安全工具与检测研究** - 可运行的 Sigma 规则和 KQL 查询，一个零依赖的 CISA KEV 监控器，一个每日同步的 KEV feed， 以及一个单页蓝队参考手册。专注于防御，每一个论断都有主要来源支持。 [](https://github.com/atraxsrc/umbrasec/actions/workflows/kev-sync.yml) [](https://github.com/atraxsrc/umbrasec/actions/workflows/sigma-validate.yml) [](LICENSE) [](https://umbrasec.dev) ## 10 秒内体验 `kev-watch` 需要 Python 3.9+ 且无需其他任何依赖 - 不需要安装包，没有安装步骤： ``` git clone https://github.com/atraxsrc/umbrasec python3 umbrasec/tools/kev-watch/kev_watch.py --watch fortinet ivanti citrix ``` 这会打印出来自 CISA 已知漏洞利用 (KEV) 目录中最新添加的、**正被积极利用的** CVE， 并过滤出你实际正在使用的厂商： ``` CISA KEV catalog 2026.06.11 · 1618 total entries · mode: since CVE-2026-10520 Ivanti Sentry - Ivanti Sentry OS Command Injection Vulnerability added 2026-06-11 remediate by 2026-06-14 action: Apply mitigations in accordance with vendor instructions ... https://nvd.nist.gov/vuln/detail/CVE-2026-10520 1 item(s) reported. ``` 仅使用公开数据；它只读取一个 JSON feed，绝不触碰目标系统。 ## 包含内容 | | 它是什么 | |---|---| | [`tools/kev-watch/`](tools/kev-watch/) | 针对 CISA KEV 目录的零依赖 Python 监控器。追踪新添加的、被积极利用的 CVE，过滤出你的技术栈，标记与勒索软件相关的条目，并对修复截止日期发出警告。 | | [`tools/sigma-pack/`](tools/sigma-pack/) | 研究文章中的检测规则以可运行文件的形式提供：Kerberoasting Sigma 规则 (T1558.003)、OAuth 同意钓鱼 KQL 查询 (T1528)，以及 LiteLLM 命令注入 Sigma 规则 (CVE-2026-42271, T1190)，每项都附有调优和误报说明。Sigma 规则在 CI 中使用 sigma-cli 进行了语法验证，并且每条规则都有一个 [ATT&CK 覆盖表](tools/sigma-pack/#attck-coverage) 将每个 artifact 映射到其对应的攻击技术。 | | [`tools/blue-team-mapper/`](tools/blue-team-mapper/) | 一个涵盖防御生命周期的单页防御者参考：SIEM/日志源优先级、检测工程、IR 流程链、威胁狩猎、身份与云强化、SOAR playbooks - 与 ATT&CK 对齐。[在线使用](https://umbrasec.dev/tools/blue-team-mapper/)。 | | [`research/`](https://umbrasec.dev/research/) | 检测分析文章：[Kerberoasting](https://umbrasec.dev/research/detecting-kerberoasting.html)、[M365 中的 OAuth 同意钓鱼](https://umbrasec.dev/research/detecting-oauth-consent-phishing.html)、[面向防御者的 OWASP LLM Top 10](https://umbrasec.dev/research/owasp-llm-top-10-for-defenders.html)、[LiteLLM 命令注入 (CVE-2026-42271)](https://umbrasec.dev/research/detecting-litellm-command-injection.html)。`sigma-pack` 中的每一条规则都来源于这些文章。 | | [`guide/`](https://umbrasec.dev/guide/) | 为中小型企业提供的免费、分阶段的安全指南 - 从零开始到具备可防御的安全基线，每项建议都映射到 ASD Essential Eight、ISO 27001:2022 和 NIST CSF 2.0，并且每个步骤都解释了它是什么、为什么重要以及它的成本。 | ## KEV feed，作为一个 feed 提供 GitHub Action 每天[同步 CISA KEV 目录](.github/workflows/kev-sync.yml) 到 一个小的 JSON 文件中，其中保存了 **最近添加的 10 个** 正被积极利用的 CVE， 按时间最新优先排序 - 非常适合用于仪表盘、滚动通知以及“刚刚被利用的是什么”的检查， 且没有 CORS 问题，也不需要你自己去请求 cisa.gov： ``` https://umbrasec.dev/assets/kev-latest.json ``` ``` # 最近添加的五个正在被利用的 CVE curl -s https://umbrasec.dev/assets/kev-latest.json | jq -r '.vulnerabilities[:5][] | "\(.dateAdded) \(.cveID) \(.vendorProject) \(.product)"' ``` 每个条目的字段包含：`cveID`、`vendorProject`、`product`、`vulnerabilityName`、 `dateAdded`、`knownRansomwareCampaignUse`。顶层包含 `catalogVersion`、 `synced` 和 `count`（即完整目录的条目总数，而非此文件的）。这被刻意做成了最近条目的 feed，而不是一个镜像 - 若需完整目录，请前往 [CISA](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 或运行 `kev-watch`，它会直接查询 CISA 的 feed。每天 UTC 时间 06:17 更新。 ## 目前重点 - **检测工程** - 包含你可以实际运行的规则的分析文章（Sigma，映射到 真实的事件 ID 和 MITRE ATT&CK 技术），外加调优和误报说明。 - **诚实的威胁分析** - 对真实技术和 CVE 的技术性剖析，每个论断都有 主要来源支持。 - **开源防御工具** - 为防御者构建的小巧、实用的工具，公开开发。 - **LLM / AI 安全** - 对 prompt 注入和作为一类风险的 OWASP LLM Top 10 的 防御覆盖（第一篇分析文章已上线）。 - **SMB 安全指南** - 一个免费、基于框架的[指南](https://umbrasec.dev/guide/) 带领小企业从零开始达到可防御的基线，一次一个阶段（另外提供 付费的一人 [vCISO 服务](https://umbrasec.dev/services)，面向希望获得 实操帮助以实现目标的企业）。 ## 幕后团队 UMBRASEC 由 **0xdev1** 运营 - 一位独立的单兵从业者。这里的所有研究和 工具都是免费开源的；此外还提供一人 [vCISO 顾问服务](https://umbrasec.dev/services)，面向中小型 企业，诚实地将其如实标明。它并未声称拥有实际上还没有的过往业绩： 它是全新的，并且也照实说了。计划很诚实 - 发布真正 有用、来源充分的工作成果，接受各方检验，并让声誉从中自然积累。 发布的所有内容都**仅限于防御目的**。这项研究解释了攻击是如何运作的， *以便防御者能够检测并阻止它们* - 这里绝不会发布任何可用的 exploit、恶意软件或攻击性 工具。 网站：**[umbrasec.dev](https://umbrasec.dev)** · 联系方式：**0xdev1@umbrasec.dev** ## 路线图（后续） 项目发展过程中的计划方向 - 尚未上线，如实作为意图列出： - **威胁情报** - 对现实世界的攻击活动和基础设施的追踪与分析。 ## 复刻 (Fork) 该网站 此 repo 也是 [umbrasec.dev](https://umbrasec.dev) 的源代码。如果你为了自己的项目复刻了它， 请将这些内容替换为你自己的详细信息： - **预约链接** - `services.html` 中有一个 `Book a scoping call` 按钮，指向 `https://cal.com/0xdev1`。要更改它，请编辑那个 URL（标有 `` 注释）。 - **联系邮箱** - `0xdev1@umbrasec.dev`，用于 `index.html`、`services.html`、 `about.html`，以及 `assets/umbra.js` 中的调色板。 - **GitHub** - 全站使用的 `github.com/atraxsrc/umbrasec`。 - **加密货币打赏地址** - BTC/XMR 地址和二维码 SVG 位于 `assets/umbra.js` (`COINS`) 以及 `assets/btc-qr.svg` / `assets/xmr-qr.svg` 中。 ## 勘误 发现了行为异常的检测、错误的引用，或不准确的分析？欢迎 提供反馈 - [提交 issue](https://github.com/atraxsrc/umbrasec/issues)。 勘误将获得署名致谢。 ## License 代码与工具：MIT。书面研究/内容：© UMBRASEC，免费阅读。

标签：CISA KEV, Homebrew安装, KQL, Python, Sigma规则, 后端开发, 威胁情报, 开发者工具, 无后门, 目标导入, 逆向工具