thrive-spectrexq/r3trive

# R3TRIVE [](LICENSE) []() [](https://golang.org/) []() []() []() ## 什么是 R3TRIVE？ R3TRIVE 是一个跨平台的网络安全平台，专为**大规模防御性安全运营**而构建。它将行为端点检测、AI 辅助调查、自动化响应和威胁狩猎结合到一个终端优先的单一工具中，该工具可以在任何地方运行——从开发者的笔记本电脑到拥有 10,000 个节点的企业集群。 传统的安全产品依赖于脆弱的特征码数据库，并且需要昂贵的基础设施，而 R3TRIVE 则使用与 MITRE ATT&CK、YARA 和 Sigma 规则相关联的**行为分析**来检测特征码遗漏的内容：无文件恶意软件、无文件攻击、凭证窃取和高级持续性威胁。 ## 为什么选择 R3TRIVE？ | 问题 | R3TRIVE 解决方案 | |---|---| | 特征码噪音导致的告警疲劳 | 行为关联减少误报 | | 工具碎片化 (EDR + SIEM + SOAR) | 统一的检测、调查和响应 | | 部署复杂 | 单一可移植二进制文件，零依赖 | | 许可昂贵 | Apache 2.0 开源核心 | | 分析师技能差距 | AI 分析师层提供引导式调查 | | 手动响应缓慢 | 秒级自动遏制 | ## 功能 ### 端点监控 对进程创建、网络活动、文件修改、注册表更改、服务创建和计划任务进行持续的行为监控。 ``` r3trive monitor r3trive monitor --output json --level high ``` ### 威胁狩猎 使用 YARA、Sigma 和自定义行为规则，跨主机工件进行主动狩猎。 ``` r3trive hunt r3trive hunt --technique T1003 --output report.json ``` ### 事件调查 对可疑的二进制文件、进程和活动进行深度分析并进行风险评分。 ``` r3trive investigate suspicious.exe r3trive investigate --pid 4821 r3trive investigate --incident INC-20240315-001 ``` 示例输出： ``` ═══════════════════════════════════════════ R3TRIVE Incident Investigation Report Target: suspicious.exe Timestamp: 2024-03-15T14:32:01Z ═══════════════════════════════════════════ Risk Score: 94 / 100 ████████████████████ CRITICAL Findings: [CRITICAL] Network beaconing to 185.220.101.47:443 (Tor exit node) [HIGH] Registry persistence via HKCU\Run [HIGH] Privilege escalation attempt (SeDebugPrivilege) [MEDIUM] Packed/obfuscated binary (entropy 7.82) [MEDIUM] Parent process spoofing detected ATT&CK Techniques: T1071.001 Application Layer Protocol: Web Protocols T1547.001 Boot or Logon Autostart: Registry Run Keys T1055 Process Injection T1134 Access Token Manipulation Recommended Action: IMMEDIATE ISOLATION ``` ### 自动防御 基于行为触发器或事件阈值触发自动遏制操作。 ``` r3trive defend r3trive defend --mode active --threshold 80 ``` ### 安全审计 主机安全基线评估。 ``` r3trive audit r3trive audit --profile cis-level2 r3trive audit --output audit-report.html ``` ### AI 安全分析师 自然语言事件解释、规则生成和攻击链重建。 ``` r3trive explain incident.json r3trive summarize --last 24h r3trive generate-rule --from incident.json r3trive ask "What lateral movement techniques were used in INC-20240315-001?" ``` ### YARA & Sigma 集成 ``` r3trive yara scan sample.exe r3trive yara scan --dir /tmp --recursive r3trive sigma hunt r3trive sigma hunt --ruleset /rules/custom/ ``` ## 快速入门 ### 安装 **通过二进制文件（推荐）：** ``` curl -sSL https://get.r3trive.io/install.sh | bash ``` **通过源码：** ``` git clone https://github.com/thrive-spectrexq/r3trive cd r3trive make build sudo make install ``` **Docker：** ``` docker run --privileged -v /:/host:ro thrive-spectrexq/r3trive monitor ``` ### 首次运行 ``` # 初始化配置 r3trive init # 运行快速安全审计 r3trive audit --quick # 启动持续监控 r3trive monitor # 执行威胁狩猎 r3trive hunt ``` ## 架构概览 ``` ┌─────────────────────────────────────────────────────────────┐ │ R3TRIVE CLI │ │ (cobra + structured output layer) │ └─────────────────────────────┬───────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ Command Router │ └──────────┬──────────────────┬───────────────────┬───────────┘ │ │ │ ▼ ▼ ▼ ┌──────────────┐ ┌─────────────────┐ ┌────────────────────┐ │ Detection │ │ Response Core │ │ Threat Engine │ │ Core │ │ │ │ │ │ • Process │ │ • Kill process │ │ • IOC matching │ │ • File │ │ • Block IP │ │ • Reputation │ │ • Network │ │ • Quarantine │ │ • Campaign ID │ │ • Registry │ │ • Isolate host │ │ • YARA/Sigma │ └──────┬───────┘ └────────┬────────┘ └────────┬───────────┘ └──────────────────┬─┘ │ ▼ │ ┌─────────────────────────────────────────────────────────────┐ │ Correlation Engine │ │ (event stream → incident → ATT&CK mapping) │ └─────────────────────────────┬───────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ AI Analyst Layer │ │ (local LLM / OpenAI-compatible / Ollama integration) │ └─────────────────────────────┬───────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ Plugin System │ │ (SIEM / EDR / Ticketing / Cloud / Feeds) │ └─────────────────────────────────────────────────────────────┘ ``` 完整架构详情：[SYSTEM_ARCHITECTURE.md](docs/SYSTEM_ARCHITECTURE.md) ## 技术栈 | 层级 | 技术 | |---|---| | 主要语言 | Go 1.22+ | | 性能关键模块 | Rust | | 脚本 / AI 工具 | Python 3.13+ | | 本地存储 | SQLite | | 集群/节点群存储 | PostgreSQL | | 遥测 | OpenTelemetry | | 消息传递 | NATS（默认），Kafka（企业版） | | AI | Ollama（本地），兼容 OpenAI 的 API | | 规则格式 | YARA，Sigma，自定义 R3TRIVE DSL | ## 检测覆盖范围 | 类别 | 覆盖范围 | |---|---| | MITRE ATT&CK 技术 | 200+ | | 勒索软件家族 | 40+ | | 凭证窃取技术 | 25+ | | 横向移动模式 | 30+ | | 持久化机制 | 50+ | | 滥用系统二进制文件 (LOLBins) | 150+ | ## 文档 | 文档 | 描述 | |---|---| | [SYSTEM_ARCHITECTURE.md](docs/SYSTEM_ARCHITECTURE.md) | 完整的组件设计和数据流 | | [THREAT_MODEL.md](docs/THREAT_MODEL.md) | 威胁行为者、攻击面、缓解措施 | | [DETECTION_ENGINE_SPEC.md](docs/DETECTION_ENGINE_SPEC.md) | 行为检测内部机制 | | [PLUGIN_SDK.md](docs/PLUGIN_SDK.md) | 集成与插件开发 | | [API_REFERENCE.md](docs/API_REFERENCE.md) | REST API 和 gRPC 参考 | | [RULE_ENGINE_SPEC.md](docs/RULE_ENGINE_SPEC.md) | 规则语言和编写指南 | | [AI_ANALYST_SPEC.md](docs/AI_ANALYST_SPEC.md) | AI 层架构和提示词 | | [DATABASE_SCHEMA.md](docs/DATABASE_SCHEMA.md) | 完整的 schema 参考 | | [SOC_WORKFLOW.md](docs/SOC_WORKFLOW.md) | SOC 集成和分诊剧本 | | [CONTRIBUTING.md](CONTRIBUTING.md) | 贡献指南 | ## 路线图 | 阶段 | 状态 | 描述 | |---|---|---| | 阶段 1：MVP | 🔄 进行中 | CLI，事件收集，进程/网络监控，审计 | | 阶段 2：检测平台 | 📋 计划中 | 行为分析，威胁狩猎，规则引擎，IOC 匹配 | | 阶段 3：响应平台 | 📋 计划中 | 自动遏制，主机隔离，隔离区 | | 阶段 4：AI 平台 | 📋 计划中 | 事件摘要，威胁解释，检测生成 | | 阶段 5：企业平台 | 📋 计划中 | 集群管理，云仪表盘，多租户 SOC | ## 安全与信任 R3TRIVE 基于零信任架构原则构建： - **最小权限**：每个组件都以所需的最低权限运行 - **持续验证**：子系统之间没有隐式信任 - **不可变审计日志**：防篡改的事件记录 - **签名发布**：所有二进制文件均已签名且可验证 ## 法律 R3TRIVE 专为**防御性网络安全运营**、事件响应、研究和授权的安全评估而设计。用户有责任确保遵守所有适用的法律、法规和组织政策。未经授权对您不拥有或未获得明确测试许可的系统进行使用是非法的，并受到禁止。 ## 许可证 Apache License 2.0 — 详情请参阅 [LICENSE](LICENSE)。 ## 贡献 有关如何参与贡献，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 社区 - **GitHub Discussions**：[github.com/r3trive/r3trive/discussions](https://github.com/thrive-spectrexq/r3trive/discussions) - **安全问题**：security@r3trive.io（PGP 密钥见 SECURITY.md） - **文档**：[docs.r3trive.io](https://docs.r3trive.io)

标签：AI风险缓解, DNS 反向解析, EDR, Go语言, 可视化界面, 安全运营, 扫描框架, 日志审计, 测试用例, 用户代理, 程序破解, 端点安全, 脆弱性评估, 补丁管理, 请求拦截, 逆向工具