manishrawat21/Cisa-KEV-Threat-Intel-Orchestrator
GitHub: manishrawat21/Cisa-KEV-Threat-Intel-Orchestrator
一个基于 n8n 的零接触自动化管线,每周将 CISA KEV 目录中新武器化的 CVE 通过 Gemini 转化为生产级 Sigma 检测规则并附带审计追踪和分析师简报。
Stars: 21 | Forks: 0
# CISA KEV 威胁情报编排器
零接触 pipeline,每周自动将 CISA 已知被利用漏洞 (KEV) 目录中新出现且已被武器化的 CVE 转化为可用于生产环境的 Sigma 检测规则。
## 问题所在
手动将新的 KEV 条目转化为可用的检测规则非常缓慢:查阅安全通告、研究攻击模式、编写 Sigma 规则、进行测试、向团队汇报。每个 CVE 大约需要 4-6 小时。一周内出现十个新条目就意味着一整周的工作量,而大多数 SOC 并没有多余的空闲分析师时间在每个星期一去处理这些。
## 功能说明
每周一上午 8:00,该 pipeline 将执行以下操作:
1. **拉取实时的 CISA KEV 目录**,并提取自上次运行以来新增的、已被武器化的 CVE。
2. **使用 Google Gemini 为每个 CVE 生成 Sigma 检测规则**,该过程受结构化 prompt 约束,强制模型执行以下操作:
- 针对 CVE 中指明的确切产品/供应商(而非通用的占位符规则)
- 针对该技术使用正确的 Sysmon EventID(进程创建、网络、镜像加载、LSASS、注册表)
- 包含 3-5 个条件过滤器以控制误报
- 映射到相关的 MITRE ATT&CK 技术
- 仅输出纯净的 YAML,可直接导入 Splunk、Elastic 或 Wazuh
3. **将处理过的每个 CVE 记录到 Google Sheet 中**,形成一份带有时间戳的持续审计记录,追踪漏洞披露时间与对应检测规则生成时间的对比。其设计初衷不仅是为了记录日志,更是为了满足 SOC 2 / ISO 27001 中关于主动漏洞管理证据的要求。
4. **发送准备好供分析师查阅的每周简报邮件**,其中包含 CVE 列表、严重程度以及检测逻辑草案。
***查看我的完整博客:[高级威胁情报:将每个 CVE 的处理时间从 6 小时缩短至 0 分钟](https://osintteam.blog/advanced-threat-intel-from-6-hours-to-0-minutes-per-cve-1ee3d55d5485?sharedUserId=manishrawat21)***
## 架构
```
CISA KEV Catalog (API)
│
▼
n8n Schedule Trigger (Mon 8:00 AM)
│
▼
Filter: new + weaponized CVEs
│
▼
Gemini (Sigma rule generation, one CVE per call)
│
├──▶ Google Sheets (audit trail)
│
└──▶ Email digest (analyst briefing)
```
## 技术栈
n8n · CISA KEV API · Google Gemini · Google Sheets · Gmail/SMTP
## 状态与后续计划
这是一个每周运行的可用 pipeline,而非最终产品。目前的路线图包括:
- 将生成的规则自动部署到安全团队的 SIEM 中,而不是仅通过电子邮件发送
- 在规则交付给分析师之前,针对样本日志对生成的规则进行自动化测试
- 与事件响应系统进行直接集成
## 仓库内容
```
/workflow n8n workflow export (importable JSON)
/prompts Gemini prompt templates used in the Sigma generation node
/sample-output One real weekly briefing (sanitized)
README.md
```
## 作者
Manish Rawat | 检测工程师与 SOC 分析师(独立研究)
[LinkedIn](https://linkedin.com/in/manishrawat21) · [GitHub](https://github.com/manishrawat21) · [Medium](https://medium.com/@manishrawat21)
标签:GPT, n8n, Sigma规则, 威胁情报, 安全运营, 开发者工具, 扫描框架, 漏洞管理, 目标导入, 自动化流水线