sajancr3/controlprobe

# ControlProbe — 自适应安全控制验证器     ## 它的功能 大多数安全团队*假设*他们的控制措施是有效的。ControlProbe 则负责*证明*这一点。 ControlProbe 模拟了跨 9 种战术的 15 种真实 ATT&CK 技术，轮询 SIEM (Wazuh) 以获取告警响应，通过实时的 AbuseIPDB 威胁情报丰富攻击者 IP 信息，并生成带有差距分析的评分覆盖率报告——所有这一切都在实时仪表盘中进行可视化展示。 ## 架构 ## 覆盖的 ATT&CK 技术 | ID | 技术 | 战术 | |---|---|---| | T1110 | 暴力破解 | 凭据访问 | | T1046 | 网络服务扫描 | 发现 | | T1053 | 计划任务 | 持久化 | | T1070 | 指标移除 | 防御规避 | | T1078 | 有效账户 | 初始访问 | | T1059 | 命令与脚本 | 执行 | | T1055 | 进程注入 | 防御规避 | | T1083 | 文件与目录发现 | 发现 | | T1105 | 入口工具传输 | 命令与控制 | | T1027 | 混淆文件 | 防御规避 | | T1057 | 进程发现 | 发现 | | T1082 | 系统信息发现 | 发现 | | T1021 | 远程服务 | 横向移动 | | T1048 | 经由通道的渗出 | 渗出 | | T1562 | 损害防御 | 防御规避 | ## 功能特性 - 真实的 ATT&CK 技术模拟——而非合成数据 - Wazuh SIEM 集成与实时告警轮询 - 针对攻击者 IP 的 AbuseIPDB 威胁情报富化 - 真实的检测率——根据技术难度进行加权 - 带有 A-D 等级评定的覆盖率评分 - 差距分析——准确识别你的控制措施遗漏了什么 - 历史 JSON 报告——跟踪随时间的改进情况 - 带有雷达图和战术细分的实时 Web 仪表盘 - 完全 Docker 化——只需一条命令即可运行 ## 快速开始 ``` git clone https://github.com/sajancr3/controlprobe.git cd controlprobe cp .env.example .env # 将你的 AbuseIPDB API key 添加到 .env docker compose up ``` 打开仪表盘：http://localhost:8080 运行扫描： ``` docker compose run runner ``` ## 技术栈 - Python 3.9 - FastAPI + Uvicorn - Docker + Docker Compose - Wazuh REST API - AbuseIPDB API - Chart.js - MITRE ATT&CK 框架 ## 环境变量 ABUSEIPDB_API_KEY=your_key_here WAZUH_HOST=http://localhost:55000 WAZUH_MOCK=true 设置 `WAZUH_MOCK=false` 并将 `WAZUH_HOST` 指向真实的 Wazuh 实例，即可使用实时的 SIEM 数据。 ## 构建基础 Debian ARM64——这是一个网络安全作品集的一部分，旨在展示检测工程、SIEM 集成以及威胁情报的落地应用。

标签：DNS 反向解析, Docker, PE 加载器, Python, 威胁情报, 子域名变形, 安全防御评估, 开发者工具, 插件系统, 无后门, 无线安全, 版权保护, 紫队, 网络信息收集, 网络安全审计, 请求拦截, 逆向工具