codernate92/SafeMatrix

# 🛡️ SafeMatrix 一个模块化、端到端的 **Threat Hunting Framework**，专为分析师和研究人员构建。SafeMatrix 结合了实时日志采集、CTI 富化、告警和事件响应自动化，使用了 TheHive、Splunk、MISP 和 OSQuery 等强大工具。 ## ⚙️ 架构概览 ``` SafeMatrix/ ├── config/ │ ├── settings.yaml │ └── thehive_config.json │ ├── data/ │ ├── test_logs.py │ ├── threatintel.csv │ └── data_cleanup.py │ ├── integrations/ │ ├── aws_log_fetcher.py │ ├── osquery_monitor.py │ ├── threatintel_importer.py │ ├── splunk_forwarder.py │ └── thehive_api.py │ ├── scripts/ │ ├── helpers.py │ ├── incident.py │ └── main.py │ ├── tests/ │ ├── test_thehive_client.py │ └── test_logs.py │ ├── requirements.txt ├── constraints.txt └── README.md ``` ## 🚀 功能特性 - **AWS CloudTrail + Sysmon** 日志采集 - **OSQuery** 端点遥测数据收集 - **MISP 集成** 用于 IOC 富化 - **TheHive** 案例创建 + 告警 - **Splunk 集成** 用于可视化 - 模块化 Python 代码库，包含完整测试套件 ## ✅ 环境要求 - Docker - Python 3.10+ - MISP 实例（自托管或云端） - TheHive（本地运行或通过 Docker 运行） - Splunk（或 Splunk HEC token） ## 🔧 安装说明 ``` git clone https://github.com/YOUR_USERNAME/SafeMatrix.git cd SafeMatrix python3 -m venv venv source venv/bin/activate pip install -r requirements.txt ``` 请确保更新 `config/settings.yaml` 和 `config/thehive_config.json` 中的本地实例详细信息。 ## 📦 运行框架 ``` python scripts/main.py ``` 它将执行以下操作： 1. 从 AWS 和 Sysmon 获取日志。 2. 关联事件。 3. 使用 MISP 进行富化。 4. 创建 TheHive 告警。 5. 将事件转发到 Splunk（可选）。 ## 🔍 威胁情报富化 SafeMatrix 使用 MISP 的 API 基于以下内容对事件进行富化： - IP 地址 - 哈希值 - 域名 修改 `integrations/threatintel_importer.py` 以集成您首选的 CTI 源。 ## ⚠️ 告警与案例管理 案例会在 TheHive 中自动创建，并包含相关上下文和严重程度。您可以在仪表板中查看、分类和升级这些案例。 ## 📊 可视化 使用 Splunk 中的预构建仪表板查看： - 可疑 API 调用 - 横向移动检测 - 端点异常 ## 📜 许可证 MIT License

标签：AWS CloudTrail, CIDR查询, CISA项目, DAST, EDR, HTTP工具, OSQuery, PE 加载器, Python安全工具, SOC工具, Sysmon, TheHive, Web报告查看器, 威胁情报, 安全可视化, 安全告警, 安全运营中心, 开发者工具, 开源安全, 恶意软件分析, 数据丰富化, 日志采集, 漏洞发现, 端点检测与响应, 网络安全审计, 网络映射, 脆弱性评估, 脱壳工具, 请求拦截, 逆向工具