mekhiJohnson04/threat_intelligence
GitHub: mekhiJohnson04/threat_intelligence
一个全栈蓝队威胁检测规则浏览工具,支持按规则类型检索并与 MITRE ATT&CK 技术映射,同时利用 Claude 提供运营分析。
Stars: 0 | Forks: 0
# 威胁检测规则浏览器
一个全栈工具,用于查询映射到 MITRE ATT&CK 技术的蓝队检测规则,
并提供由 Claude 驱动的运营分析。
## 架构
```
frontend/ React + Vite — the UI
backend/ FastAPI + Python — data layer + Claude API
```
## 设置
### 1. 添加您的数据集
将您的 `blue_team_clean.json` 复制到:
```
backend/data/blue_team_clean.json
```
### 2. 后端
```
cd backend
# 创建虚拟环境
python -m venv venv
source venv/bin/activate # Mac/Linux
venv\Scripts\activate # Windows
# 安装依赖
pip install -r requirements.txt
# 设置你的 Anthropic API key
cp .env.example .env
# 编辑 .env 并添加你的 ANTHROPIC_API_KEY
# 运行服务器
uvicorn main:app --reload
# 后端运行在 http://localhost:8000
```
### 3. 前端
```
cd frontend
# 安装依赖
npm install
# 运行开发服务器
npm run dev
# 前端运行在 http://localhost:5173
```
## API 路由
| 方法 | 路由 | 功能描述 |
|--------|-------|--------------|
| POST | /api/search | 主搜索 — 接收用户输入,返回规则 + Claude 分析 |
| GET | /api/coverage | 返回 ATT&CK 技术覆盖计数 |
| GET | /api/rules/{type} | 按 Sigma、YARA 或 Suricata 筛选规则 |
## 需要您自行构建的内容(动手实践部分)
- 使用更智能的搜索逻辑扩展 `rule_engine.py`
- 为部分技术 ID 查询添加模糊匹配
- 使用 /api/coverage 构建覆盖率差距可视化
- 改进 `claude_service.py` 中的 system prompt
- 在 UI 中添加按战术类别筛选的功能
标签:AMSI绕过, AV绕过, Claude, CVE检测, FastAPI, React, Syscalls, 威胁检测, 安全运营, 扫描框架, 逆向工具