2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
“这里是合成遥测数据”与“这里是你的验证声称要证明的内容”之间发生了什么变化。
代码仓库: https://github.com/GnomeMan4201/shenron
第一篇文章描述了 神龙(SHENRON) 是什么:一个防御性遥测模拟平台,它生成具有对抗特征的合成事件,而不产生有效载荷、shellcode、子进程执行或可移植的对抗过程。
本文描述了它演变后的形态。
第一个版本无法弥合的差距
生成合成遥测数据很有用。它让你能够测试你的安全信息和事件管理(SIEM)系统是否摄入了正确的字段,你的检测规则是否指向了正确的信号词汇,以及你的分析师是否能识别出他们需要识别的事件序列。
但它没有回答那个更棘手的问题:你的验证究竟声称证明了什么?
针对持久化特征遥测数据进行验证的检测栈,并未经过针对命令与控制(C2)信标、横向移动或反取证技术的测试。这并不是失败——而是范围边界。问题在于,当这个范围边界不可见时。
v0.3.3 版本使其可见。
简而言之:神龙(SHENRON) 不问检测器是否“优秀”。它询问的是,由合成遥测运行产生的证据是否真正支持对该运行所做出的声明。这使其不再是一个简单的通过/失败模拟器,而更像是一个用于蓝队验证的范围控制工具。
一条命令即可交付的内容
git clone https://github.com/GnomeMan4201/shenron
cd shenron
python3 shenron.py --release-demo
这将生成一个包含 9 个文件的产物包:
shenron_demo_run.jsonl 40 个合成事件
shenron_demo_report.md 运行报告
safety_verification.md 安全契约验证
navigator_layer.json ATT&CK Navigator 层(合成)
shenron_demo_run_ecs.json ECS 格式的事件
shenron_demo_run_ecs_bulk.ndjson Elastic 批量 API 格式
shenron_demo_run_splunk_hec.json Splunk HEC 格式
narrative.md 战术剖面叙述
charts/ 5 张深色模式 PNG 图片
MANIFEST.md 包索引
JSONL 中的每条记录都携带一个明确的安全契约:
{
"phase": "OBSERVE",
"layer": "beacon_emitter_cloak",
"signal": "periodic_beacon",
"mitre_technique": "T1071.001",
"safety": {
"simulation_only": true,
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
