Compila.
La regla redactada compila sin errores al lenguaje de consulta propio de tu SIEM.
EL MECANISMO
Riposte ejecuta un bucle continuo desde tu terminal. El lado de ataque encuentra y reproduce una brecha real; el lado de defensa escribe una regla a partir de esa evidencia exacta para atraparla la próxima vez. Tú mantienes el mando en cada paso intermedio.
EL BUCLE DEL OPERADOR
Enumera el objetivo autorizado y registra cada host, puerto y superficie que responde. Nada fuera del alcance que definiste se toca nunca.
Ejercita cada superficie como lo haría una persona, ordenando las entradas con más probabilidad de ceder y trabajándolas de una en una.
Cuando una superficie cede, abre la brecha contra una referencia y captura exactamente lo que pasó, para que el hallazgo se sostenga sobre su propia evidencia.
Cada movimiento con consecuencias se detiene para ti. Sigue adelante, regístralo, o para. El operador nunca escala por su cuenta.
UNA EJECUCIÓN, LÍNEA A LÍNEA
Una sola ejecución, transmitida tal como la verías en la terminal: superficie mapeada, entradas probadas, una brecha abierta, y luego se detiene y te cede la decisión.
EL BUCLE DE DETECCIÓN VERIFICADA
Cuando el lado de ataque reproduce un hallazgo, el lado de defensa redacta una detección a partir de esa evidencia exacta: una regla Sigma anclada a lo que realmente pasó, no a una descripción vaga. Ese borrador no se confía a primera vista. Se compila, se reproduce y se mide contra un doble de SIEM instrumentado antes de dar nada por escrito.
Una regla se publica solo si supera las cuatro puertas de abajo. Si falla una, se retiene para que la revise una persona. Las puertas fallan en cerrado, así que el silencio siempre significa retenida, nunca publicada.
La regla redactada compila sin errores al lenguaje de consulta propio de tu SIEM.
La regla coincide con el exploit exacto que la produjo, reproducido contra un doble instrumentado.
Sigue disparando después de mutar el ataque, así atrapa la técnica y no un solo payload literal.
Se mantiene bajo un umbral de falsos positivos en tráfico benigno, para no ahogar al analista que la despliega.
La demo funciona sin red y sin claves. En ella, la detección de ejemplo se publica desde una plantilla incluida en lugar de un modelo en vivo, así el recorrido es idéntico en cualquier máquina. El bucle y las cuatro puertas son los de verdad; solo la evidencia está preparada.
pre-alpha . apache-2.0 . sin telemetría . funciona offline