muchdogesec/siemrules

# SIEM 规则 [](https://codecov.io/gh/muchdogesec/siemrules) ## 开始之前... 我们提供完全托管的 SIEM Rules 网页版本，其中包含比此代码库中更多的额外功能。[您可以在此处了解更多关于网页版本的信息](https://www.siemrules.com/)。 ## 概述 一个接收包含威胁情报的文件并将其转换为检测规则的 API。 ## 工作原理 1. 用户上传文件（通常是威胁情报报告） 2. 文件被转换为 txt（使用 [file2txt](https://github.com/muchdogesec/file2txt)） 3. 用户输入由 [txt2detection](https://github.com/muchdogesec/txt2detection) 处理 4. 对象使用 [stix2arango](https://github.com/muchdogesec/stix2arango) 存储在 ArangoDB 中 / 非 STIX 对象存储在 Postgres 中 5. 对象通过 API 暴露 ## 安装 ### 下载并配置 ``` # 克隆最新代码 git clone https://github.com/muchdogesec/siemrules ``` ### 前置条件 **重要提示**：ArangoDB 和 Postgres 必须正在运行。这些未部署在 compose 文件中。 如果您不确定如何操作，请[在此处遵循基本设置步骤](https://community.dogesec.com/t/best-way-to-create-databases-for-obstracts/153/2)。 ### 配置选项 SIEM Rules 具有在 `.env` 文件中定义的各种设置。 要创建该文件的模板： ``` cp .env.example .env ``` 要了解有关如何设置变量及其作用的更多信息，请阅读 `.env.markdown` 文件。 ### 构建 Docker 镜像 ``` sudo docker compose build ``` ### 启动服务器 ``` sudo docker compose up ``` ### 访问服务器 Web 服务器 (Django) 现在应该运行在：http://127.0.0.1:8008/ 您可以在浏览器中访问 API 的 Swagger UI：http://127.0.0.1:8008/api/schema/swagger-ui/ ## 贡献说明 SIEM Rules 由不同的核心外部组件组成，这些组件支持其大部分功能。 通常，如果您想改进 SIEM Rules 执行功能的方式，您应该在以下位置解决更改； * [file2txt](https://github.com/muchdogesec/file2txt/)：将文件转换为 markdown 文件（用于从中提取数据） * [txt2detection](https://github.com/muchdogesec/txt2detection)：将 markdown 文件转换为检测规则 / STIX 对象 * [stix2arango](https://github.com/muchdogesec/stix2arango)：管理将 STIX 对象插入数据库的逻辑 对于其他任何事情，那么 Obstracts 代码库就是您需要去的地方 :) ## 支持 [通过 DOGESEC 社区提供最低限度支持](https://community.dogesec.com/)。 ## 许可证 [Apache 2.0](/LICENSE)。

标签：AMSI绕过, API, ArangoDB, Django, Docker, FTP漏洞扫描, Python, STIX, 威胁情报, 威胁检测, 安全编排, 安全防御评估, 开发者工具, 数据转换, 文件解析, 无后门, 检测规则, 测试用例, 网络安全, 网络资产发现, 规则生成, 请求拦截, 逆向工具, 隐私保护