aberto7g/attacklens

# AttackLens 中文：AttackLens 是一个基于 MITRE ATT&CK 的检测分析工具，面向 Windows Sysmon、Linux auditd 和 Zeek 日志。它支持规则匹配、事件关联、风险评分、Sigma 子集导入，以及 ATT&CK Navigator 导出。 English: AttackLens is an ATT&CK-driven detection analysis toolkit for Windows Sysmon, Linux auditd, and Zeek logs. It supports rule matching, incident correlation, risk scoring, Sigma subset import, and ATT&CK Navigator export. ## 功能 - 多源 JSONL 输入：Sysmon、auditd、Zeek - 映射到 ATT&CK 的 YAML 规则 - 主机级别的事件关联 - 风险评分和覆盖范围摘要 - Sigma 子集转换 - JSON、Markdown、HTML 和 Navigator 输出 ## 快速开始 ``` python -m venv .venv .venv\Scripts\Activate.ps1 pip install -e . attacklens validate-rules --rules rules attacklens scan \ --input samples/windows_sysmon_demo.jsonl samples/linux_auditd_demo.jsonl samples/zeek_demo.jsonl \ --rules rules \ --output-json reports/report.json \ --output-markdown reports/report.md \ --output-html reports/report.html \ --output-navigator reports/report-layer.json ``` 演示： - 扫描 15 个事件 - 10 个发现 - 6 个关联事件 - 触发 9 个 ATT&CK 技术 ## Sigma 转换 ``` attacklens convert-sigma \ --input sigma/windows \ --output converted-rules/windows ``` ## 仓库 ``` rules/ detection rules samples/ demo logs sigma/ Sigma examples src/ source code tests/ unit tests ``` ## 范围 中文：该项目用于检测工程、日志分析和教学研究，不包含攻击载荷或利用逻辑。 English: This project is for detection engineering, log analysis, and research. It does not include offensive payloads or exploitation logic.

标签：auditd, Cloudflare, MITRE ATT&CK, Python, Rootkit, Sysmon, Zeek, 安全, 无后门, 时序数据库, 超时处理, 逆向工具