Es kompiliert.
Die entworfene Regel kompiliert sauber in die Abfragesprache deines SIEM.
DER MECHANISMUS
Riposte läuft als eine durchgehende Schleife aus deinem Terminal. Die Angriffsseite findet eine echte Lücke und reproduziert sie; die Verteidigungsseite schreibt aus genau dieser Evidenz eine Regel, die sie beim nächsten Mal fängt. Bei jedem Schritt dazwischen behältst du das Kommando.
DIE OPERATOR-SCHLEIFE
Es enumeriert das autorisierte Ziel und erfasst jeden Host, Port und jede Fläche, die antwortet. Nichts außerhalb des Scopes, den du setzt, wird je angefasst.
Es reizt jede Fläche so, wie ein Mensch es täte, priorisiert die Eingaben, die am ehesten nachgeben, und arbeitet sie einzeln ab.
Gibt eine Fläche nach, landet es die Lücke gegen eine Referenz und hält genau fest, was passiert ist, sodass der Befund auf eigener Evidenz steht.
Jeder folgenreiche Schritt hält für dich an. Nachsetzen, protokollieren oder stoppen. Der Operator eskaliert nie von selbst.
EIN LAUF, ZEILE FÜR ZEILE
Ein einzelner Lauf, gestreamt so, wie du ihn im Terminal sehen würdest: Fläche kartiert, Eingaben getestet, eine Lücke gelandet, dann hält es an und übergibt dir die Entscheidung.
DIE VERIFIED-DETECTION-SCHLEIFE
Reproduziert die Angriffsseite einen Befund, entwirft die Verteidigungsseite aus genau dieser Evidenz eine Detection: eine Sigma-Regel, verankert an dem, was wirklich passiert ist, nicht an einer vagen Beschreibung. Diesem Entwurf wird nicht auf den ersten Blick vertraut. Er wird kompiliert, wiederholt und gegen einen instrumentierten SIEM-Zwilling gemessen, bevor irgendetwas festgeschrieben wird.
Eine Regel wird nur ausgeliefert, wenn sie alle vier Gates unten besteht. Verfehlt sie eines, wird sie für eine menschliche Prüfung zurückgehalten. Die Gates scheitern sicher, also heißt Stille immer zurückgehalten, nie ausgeliefert.
Die entworfene Regel kompiliert sauber in die Abfragesprache deines SIEM.
Die Regel trifft genau den Exploit, der sie erzeugt hat, wiederholt gegen einen instrumentierten Zwilling.
Es feuert weiter, nachdem der Angriff mutiert wurde, fängt also die Technik und nicht ein einzelnes Payload.
Es bleibt bei gutartigem Verkehr unter einer False-Positive-Schwelle, ertränkt also den Analysten nicht, der es einsetzt.
Die Demo läuft ohne Netzwerk und ohne Schlüssel. Darin stammt die Beispiel-Detection aus einem gebündelten Template statt aus einem Live-Modell, sodass der Durchlauf auf jeder Maschine identisch ist. Die Schleife und die vier Gates sind die echten; nur die Evidenz ist konserviert.
pre-alpha . apache-2.0 . keine Telemetrie . läuft offline