shaniesadan/detect-ai

# DetectAI — 检测规则生成器 输入一个 CVE、MITRE ATT&CK 技术、威胁报告 URL 或自由文本描述，即可获得可用于生产环境的 Sigma 检测规则、MITRE ATT&CK 映射、Atomic Red Team 模拟命令，以及通过 LLM Judge 进行的自动化规则验证。 ## 技能与工具 - **Python** — 后端逻辑、API 编排、规则解析 - **YAML** — Sigma 2.0 检测规则格式 - **Claude API (Anthropic)** — 每次分析包含 4 次独立的 AI 调用（TTP 提取、规则生成、遥测数据生成、LLM Judge） - **MITRE ATT&CK Framework** — 加载 STIX bundle（约 25MB）并进行本地缓存 - **Sigma 2.0** — 供应商中立的检测规则标准 - **Splunk SPL / Sentinel KQL / Elastic EQL** — 多 SIEM 规则转换 - **Atomic Red Team (Red Canary)** — 安全的攻击模拟命令 - **NIST NVD API** — CVE 信息丰富化（描述、CVSS、CWE、受影响产品） - **Flask** — 带有 SSE 流式传输的 Web 服务器 - **LLM-as-Judge 模式** — 通过模拟 EDR 遥测数据和准确度评分进行自动化规则验证 - **Excel 导出** — 多表工作簿（规则 + MITRE 映射 + atomic 测试 + 结论） ## 截图   ## 开发动机 编写检测规则的过程十分缓慢。一名检测工程师需要阅读安全公告，将其映射到 MITRE 技术，编写 Sigma YAML，将其转换为所用 SIEM 的查询语言，生成测试用例，并验证规则是否能按预期捕获目标。该工具将整个工作流程压缩为一次输入。 ## 工作原理 — 6 步流水线 1. **CVE 信息丰富化** — 如果输入的是 CVE ID，则从 NIST NVD 获取完整详情（描述、CVSS、CWE、受影响产品） 2. **TTP 提取与 MITRE 映射** — Claude 识别所有的攻击者技术，并将每一项映射到对应的 MITRE ATT&CK 技术 ID 和战术 3. **Sigma 规则生成** — 每项技术生成一条 Sigma 2.0 规则，包含正确的 logsource、检测字段和误报说明。同时生成安全的 Atomic Red Team 模拟命令 4. **SIEM 转换** — 每条 Sigma 规则都会被转换为 Splunk SPL、Microsoft Sentinel KQL 和 Elastic Query String 5. **模拟 EDR 遥测**** — 每条规则生成 4 个模拟端点事件：3 个真阳性 + 1 个真阴性 6. **LLM Judge 验证** — Claude 将每个事件与规则进行逐字段比对评估，返回带有准确度评分的最终结论 ## 核心功能 - **多种输入类型** — CVE ID、MITRE 技术 ID、URL 或自由文本 - **兼容 Sigma 2.0** — 每个 logsource 类别使用正确的字段名称 - **多 SIEM 导出** — Splunk SPL、Sentinel KQL、Elastic query string - **Atomic Red Team** — 遵循 Red Canary 框架的安全模拟命令 - **LLM Judge** — 针对每个事件提供推理过程的自动化规则验证 - **Excel 导出** — 包含所有结果的多表工作簿 ## 项目结构 ``` detect-ai/ ├── app.py # Flask server — API routes, SSE streaming ├── config.py # Configuration — API keys, model settings, paths ├── cli.py # CLI interface for terminal usage ├── core/ │ ├── input_handler.py # Detects input type (CVE, technique, URL, text) │ ├── cve_enricher.py # NIST NVD API — full CVE details │ ├── url_scraper.py # Extracts threat data from URLs │ ├── threat_extractor.py # Claude AI — TTP extraction and MITRE mapping │ ├── mitre_client.py # MITRE ATT&CK STIX bundle loader with caching │ ├── rule_generator.py # Claude AI — Sigma rule + Atomic Red Team generation │ ├── sigma_validator.py # Validates Sigma YAML against 2.0 schema │ ├── sigma_converter.py # Converts Sigma → Splunk SPL / Sentinel KQL / Elastic │ ├── telemetry_generator.py # Claude AI — mock EDR event generation │ └── telemetry_validator.py # Claude AI — LLM Judge evaluation ├── templates/ │ └── index.html # Single-page dashboard with results visualization ├── output/ │ └── .mitre_cache.json # Cached MITRE ATT&CK data ├── requirements.txt └── .env # API keys (not included) ```

标签：AI安全运营, Cloudflare, DLL 劫持, Flask, MITRE ATT&CK, Python, Sigma标准, 大语言模型, 无后门, 检测规则生成, 逆向工具