RichPayne/VibeShark
GitHub: RichPayne/VibeShark
将数据包捕获转化为交互式会话图并集成多检测引擎与 AI 分析的网络取证与威胁狩猎平台。
Stars: 0 | Forks: 0
# 
**网络取证与威胁狩猎平台。** 上传一个数据包捕获文件(或
实时捕获),VibeShark 就会将其转化为交互式会话图,
通过一系列检测引擎对其进行丰富,评估风险,并允许你
对你曾经分析过的每一次捕获进行狩猎——同时配备一名 AI 分析师副驾驶来
帮助解释它所看到的内容。
## 核心亮点
- **交互式分析** — 动画主机/会话图、带有流重组与文件雕刻功能的数据包检查器、
可拖动的时间轴以及世界地图。
- **检测与丰富** — Suricata (ET Open)、Zeek、Sigma、YARA、p0f、TLS
JA3/JA4、GeoIP/ASN、威胁情报源、UEBA 基线分析、异常启发式算法,
以及 MITRE ATT&CK 标签。
- **狩猎** — Wireshark 风格的过滤语言 (⌘K)、跨捕获溯源狩猎、
活动关联、被动 DNS、资产清单以及已保存的狩猎任务。
- **AI 副驾驶** — 询问 LLM 分析师以解释捕获内容或发现。
- **协作与运维** — RBAC/身份验证、审计追踪、可共享的永久链接、IOC
导出 (STIX/MISP/TAXII)、SIEM/SOAR 转发以及实时的服务状态页面。
- **实时捕获** — 从网络接口实时流式传输。
……以及更多功能 — 在应用中打开 **Docs** 面板以获取完整指南。
## 部署
**前提条件:** Docker + Docker Compose v2。就这样。
```
make run # build everything, start the stack, open the UI
```
然后打开 **** 并点击 **Load demo capture**(或者拖入
你自己的 pcap)。`make run` 是你唯一需要的命令;如果不使用 `make`,等效的
命令是 `docker compose up -d --build`。
### 在锁定状态下运行(身份验证 + RBAC)
```
make env # writes a .env: AUTH_ENABLED=1 + a random secret + admin login
make run
```
`make env` 会打印生成的管理员凭据。登录后,即可从 **Access control** 控制台管理用户、
群组和集成密钥。
### 常用命令
| 命令 | 功能描述 |
| --- | --- |
| `make run` | 构建 + 启动所有服务,打开 UI |
| `make rebuild` | 重新构建镜像 + 重建容器(在代码更改后) |
| `make logs` | 跟踪所有服务日志 |
| `make status` | 每个服务的实时健康状态 |
| `make scale N=5` | 运行 5 个分析 worker |
| `make heavy` | 同时启动 Slips 行为分析引擎 |
| `make down` / `make clean` | 停止(保留数据)/ 卸载并删除数据 |
运行 `make help` 获取完整列表。
## 配置
一切都是通过环境变量进行配置的(将它们放在 `.env` 中)。所有配置都是
可选的 —— VibeShark 开箱即用,具有合理的默认设置。最
常用的包括:
| 变量 | 默认值 | 用途 |
| --- | --- | --- |
| `AUTH_ENABLED` / `AUTH_SECRET` | off | 启用登录 + RBAC(使用 `make env`) |
| `ADMIN_USER` / `ADMIN_PASS` | seeded | 首次运行的管理员账户 |
| `ANALYZER_MEM_LIMIT` | `4g` | 为极大的捕获文件提高内存限制 |
| `JOB_QUEUE` | `1` | 持久且重启安全的分析队列 |
| `BLOB_BACKEND` | `s3` | 捕获存储(`s3`/MinIO 或 `fs`) |
| `ANTHROPIC_API_KEY` | — | 启用 AI 副驾驶 |
| `VT_API_KEY`, `OPENCTI_URL`/`_TOKEN`, … | — | 威胁情报丰富 |
| `SLACK_WEBHOOK_URL` / `ELASTIC_URL` / `SPLUNK_HEC_URL` | — | 外部告警 / SIEM |
大多数集成密钥也可以在运行时从 **Access control →
Integrations** 控制台进行设置(无需重启)。有关
完整参考,请参阅 [docs/ARCHITECTURE.md](docs/ARCHITECTURE.md)。
## 架构
一组位于 nginx 边缘之后的小型、可独立扩展的服务:
```
┌──────────────┐ ┌───────────┐
browser ──▶│ frontend │─/api▶│ gateway │──▶ postgres · minio (data tier)
│ (nginx + SPA)│ │ stateless │──▶ analyzer ──▶ Zeek·Suricata·p0f·…
└──────────────┘ │ │──▶ copilot · auth · sensor
└───────────┘
```
**gateway** 是无状态 API;**analyzer** 执行繁重的 pcap
数据丰富处理并可水平扩展;**Postgres** + **MinIO** 构成数据层;
**auth**、**copilot** 和具有特权的实时捕获 **sensor** 是独立的
服务,与检测 sidecar 并存。完整的拓扑结构、请求流以及
权衡说明:**[docs/ARCHITECTURE.md](docs/ARCHITECTURE.md)**。
## 文档
- **应用内文档** — 在 UI 中打开 **Docs** 面板以获取功能指南
(分析、检测、丰富、狩猎、导出、管理)。
- **API 参考** — 可在 **`/api/docs`** 浏览的 OpenAPI/Swagger UI
(规范位于 `/api/openapi.json`)。
- **架构** — [docs/ARCHITECTURE.md](docs/ARCHITECTURE.md)。
## 本地开发
```
cd backend && go test ./... # Go services (one module → 5 binaries)
cd frontend && npm install && npm start # Angular dev server on :4200 (proxy /api)
```
标签:EVTX分析, IP 地址批量处理, Metaprompt, Rootkit, Suricata, Zeek, 安全运营, 扫描框架, 日志审计, 流量取证, 测试用例, 版权保护, 现代安全运营, 网络流量分析, 请求拦截