zavetsec/rosetta
GitHub: zavetsec/rosetta
一款纯前端离线的 ATT&CK 检测工程知识库,将攻击技术映射到遥测来源和多种 SIEM 检测规则,帮助蓝队进行交互式覆盖率评估。
Stars: 1 | Forks: 0
# ZavetSec Rosetta · 攻击 ↔ 检测
**交互式检测代码集:一项 ATT&CK 技术 —— 三个视角。攻击方式是什么,在日志中留下了什么痕迹,如何进行检测。[Pentest Codex](https://github.com/zavetsec/pentestcodex) 的蓝队镜像。**
`单个 HTML 文件。免安装。无依赖。无 CDN。无遥测。完全离线。`
*基于攻击信息的防御。具备检测意识的攻击。*
🌐 **在线访问:** [zavetsec.github.io/rosetta](https://zavetsec.github.io/rosetta/) · 📦 **文件:** `zavetsec-rosetta.html` (单一、独立文件)
## 对于每项 ATT&CK 技术,Rosetta 提供:
- 🔴 **攻击命令** —— 实际执行攻击的方式
- ⬡ **遥测数据** —— 日志来源和具体的 Event ID
- ⚙ **日志记录前置条件** —— 需要开启什么(`auditpol`, GPO, Sysmon EID),事件才能生成
- 🔵 **现成的检测规则** —— 针对选定的 SIEM,并附带关于误报 (FP) 和调优的注释
- ✅ **覆盖率自评** —— 标记你实际配置了哪些内容,并发现你的盲点
## 预览
覆盖矩阵、自评以及包含三个面板的攻击 → 遥测 → 检测工作流。
## 数据概览
- **53** 项 ATT&CK 技术
- **12** 项 kill-chain 战术
- **41** 条 Atomic + **12** 条 Behavioral 检测规则
- **10** 条 Sigma v2 correlation 格式的规则
- **4** 种检测方言 —— `Sigma · Splunk SPL · Sentinel KQL · Elastic / Wazuh`
- **1** 个 HTML 文件 · **0** 依赖 · **0** 外部请求
## 快速开始
```
Скачай zavetsec-rosetta.html → открой в браузере → выбери SIEM → отмечай покрытие
```
无需构建,无需服务器,无需依赖。或者直接打开[在线版本](https://zavetsec.github.io/rosetta/)。
```
git clone https://github.com/zavetsec/rosetta.git
# 然后,在浏览器中打开 zavetsec-rosetta.html
```
## 设计理念
品牌口号 —— `purple = red + blue` —— 在这里变成了一种界面。点击一项技术会展开三个面板:
```
◣ Attack ⬡ Telemetry ◥ Detection
─────────── ────────────── ───────────────
что запускается → след в логах → правило под SIEM
(команда) (источник · Event ID) + пререкизиты
+ что включить + FP / tuning
red → purple → blue
```
```
ATT&CK Technique
│
▼
Attack → Telemetry → Detection
│
▼
Coverage Assessment
│
▼
Sigma Export
```
## 为什么需要它
Rosetta 补充了常用工具的不足,填补了它们各自遗漏的部分:
- **ATT&CK Navigator** 非常适合可视化覆盖情况 —— Rosetta 则在此基础上为技术添加了具体的检测内容。
- **SigmaHQ** 提供了数以千计的规则 —— Rosetta 添加了“需要记录什么”这一层,没有它,规则将无法工作。
- **DeTT&CT** 有助于评估数据源,但它基于 YAML/CLI 运行 —— Rosetta 则可以在浏览器中直接交互式地进行覆盖率评估。
Rosetta 将通常分开的三个层面 —— 检测内容、遥测要求和覆盖率评估 —— 整合到了一个可在 air-gap 环境中工作的独立工具中。
## ◥ 工具功能
*上方向你介绍了每项技术的具体内容。这里介绍的是工具本身的功能:*
- **覆盖率自评** —— 每项技术的 `已覆盖 · 部分覆盖 · 未覆盖` 状态,总体百分比以及按战术划分的统计;**支持 JSON 导入/导出**,方便备份、版本控制和团队移交
- **按状态筛选矩阵** —— “仅显示未覆盖”,以便专注于弥补盲点
- **Sigma 导出** —— 可以按单项技术导出,也可以将整个代码集打包导出,包含元数据(`id`, `tags: attack.*`, `references`, `date`);行为规则是真正的 **Sigma v2 correlation**(`event_count` / `value_count` / `temporal_ordered`)
- **检测类型标签** —— `Atomic`(单事件)对比 `Behavioral`(阈值 / 关联 / baseline)
- **深度链接** —— 指向某项技术的直接链接(`…#T1003.001`),点开即现
- **修订日期**,severity 等级说明,支持按技术 / 工具 / 检测类型进行文本搜索
- **离线优先** —— 单个 HTML 文件,零依赖和外部请求,可在 air-gap 环境下工作;适配桌面端和移动端
## ◣ 覆盖范围
当前版本的重点是 **Windows, Active Directory 和云 identity 平台** 中的攻击场景。Linux/macOS 和网络技术暂未纳入当前集合。
涵盖 12 项 ATT&CK 战术下的 53 项技术:
| 战术 | # | 技术 |
|---------|:-:|---------|
| **TA0001** Initial Access | 4 | Spearphishing Attachment · Exploit Public-Facing App · External Remote Services · Valid Cloud Accounts |
| **TA0002** Execution | 4 | PowerShell · Scheduled Task · WMI Execution · Visual Basic / WScript |
| **TA0003** Persistence | 6 | Run / RunOnce Key · Create Local Account · Windows Service · WMI Event Subscription · Add Cloud Credentials · Create Cloud Account |
| **TA0004** Privilege Escalation | 4 | Bypass UAC · Token Impersonation · Process Injection · Federation Trust Mod |
| **TA0005** Defense Evasion | 7 | Rundll32 Proxy Exec · Disable Security Tools · Clear Event Logs · Mshta · Masquerading · DLL Side-Loading · Modify MFA / Auth |
| **TA0006** Credential Access | 9 | LSASS Dump · Kerberoasting · DCSync · Brute Force / Spray · SAM Hives · NTDS.dit · Browser Credentials · MFA Fatigue · OAuth Consent Grant |
| **TA0007** Discovery | 4 | Account Discovery · Remote System Discovery · Network Service Scanning · Domain Trust Discovery |
| **TA0008** Lateral Movement | 4 | RDP · SMB / PsExec · WinRM / Remote PowerShell · Pass the Hash |
| **TA0009** Collection | 3 | Archive Collected Data · Local Data Staging · Cloud Storage Access |
| **TA0011** Command & Control | 3 | Web Protocol C2 · Ingress Tool Transfer · Protocol Tunneling |
| **TA0010** Exfiltration | 2 | Exfil over Protocol · Exfil to Cloud Storage |
| **TA0040** Impact | 3 | Data Encrypted (Ransomware) · Service Stop · Account Access Removal |
## 检测方言
| 方言 | 适用平台 | 状态 |
|---------|---------|--------|
| **Sigma** | 通用,可通过 `sigma-cli` 转换为所有格式 | 已校验 · 导出为 `.yml` |
| **Splunk SPL** | Splunk ES | 已校验 |
| **Microsoft Sentinel KQL** | Sentinel / Defender XDR | 已校验 |
| **Elastic / Wazuh** | Elastic Security 和 Wazuh —— 面板内包含两种语法 | 已校验 |
对于 **Elastic / Wazuh**,面板同时提供了 Elastic 的 EQL/DSL 和 Wazuh 的字段语法(`data.win.eventdata.*`)。云技术使用 cloud-logsource:Entra ID `SigninLogs` / `AuditLogs`,AWS CloudTrail。
## 使用指南
1. 在顶部**选择 SIEM 方言** —— 所有查询都将切换至该方言。
2. **打开一项技术** —— 包含三个面板“攻击 → 遥测 + 前置条件 → 检测”,支持复制和 `⬇ Sigma .yml`。
3. **评估覆盖率** —— `已覆盖 / 部分覆盖 / 未覆盖`;按状态筛选矩阵并跟踪百分比变化。
4. **导出** —— 导出 Sigma(按单项技术或打包导出整个代码集)以及 JSON 格式的覆盖率评估。
## 局限性说明
- 这是一个**经过校验的基础集合**,而不是对 ATT&CK(200多项技术)的全面覆盖。差距分析是相对于这 53 项技术进行的,而不是“所有可能存在的情况”。
- 查询属于**基础级别的检测**,需要根据你的环境调整阈值和白名单。这是一个参考和框架,而不是“部署后即可一劳永逸”的方案。
- 行为规则导出为 **Sigma v2 correlation** —— 若要部署,请通过 `sigma-cli` 配合适配你后端的 pipeline 进行处理。
- 覆盖率自评数据存储在浏览器的 `localStorage` 中 —— 若要共享给团队,请导出/导入 JSON 文件。
## 紫色设计
Rosetta 是与红队 [Pentest Codex](https://github.com/zavetsec/pentestcodex) 相对同一流程的**蓝队部分**。前者展示了如何攻击,后者展示了如何捕获攻击。这是同一工作流的互补之书:
```
RED Pentest Codex — техника, инструмент, команда
BLUE Rosetta — телеметрия, пререкизиты, правило детекта
▲
одна и та же техника ATT&CK
```
设计标准 — ZavetSec 品牌风格
- `#0a0d10` 深色背景 —— 适合 SOC 凌晨 3 点的阅读体验 - `#00ff88` 绿色强调色 · 红 → 紫 → 蓝作为紫队的隐喻 - 代码使用 **JetBrains Mono**,标题使用 **Rajdhani** - Severity 徽章,MITRE ATT&CK 内联显示,扫描线,径向辉光 - 100% 独立 HTML —— 单个文件,无 CDN,无外部请求
*基于攻击信息的防御。具备检测意识的攻击。*
*MIT 授权 —— 开源、实用、不受限制。*
**[zavetsec.github.io/rosetta](https://zavetsec.github.io/rosetta/)** · [ZavetSec](https://github.com/zavetsec) 紫队工具包的一部分
标签:AMSI绕过, Cloudflare, HTML工具, MITRE ATT&CK, Sigma规则, 后端开发, 多模态安全, 威胁检测, 安全运营, 扫描框架, 数据可视化, 目标导入, 防御工程