Skip to content

MEKANISMEN

Slik virker operatøren.

Riposte kjører en sammenhengende sløyfe fra terminalen din. Angrepssiden finner og reproduserer en ekte åpning; forsvarssiden skriver en regel ut fra det nøyaktige beviset for å fange den neste gang. Du har kommandoen over hvert steg imellom.

OPERATØRSLØYFEN

Recon, probe, exploit, hand-off.

  1. 01recon

    Kartlegg scopet.

    Den enumererer det autoriserte målet og noterer hver vert, port og flate som svarer. Ingenting utenfor scopet du setter blir noen gang rørt.

  2. 02probe

    Test inputene.

    Den bearbeider hver flate slik et menneske ville, rangerer inputene som mest sannsynlig gir etter og jobber dem én om gangen.

  3. 03exploit

    Press åpningen.

    Når en flate gir etter, lander den åpningen mot en referanse og fanger nøyaktig hva som skjedde, så funnet står på eget bevis.

  4. 04hand-off

    Din avgjørelse.

    Hvert konsekvensrikt trekk stopper før deg. Press på, loggfør det, eller stopp. Operatøren eskalerer aldri på egen hånd.

EN KJØRING, LINJE FOR LINJE

Se den jobbe.

En enkelt kjøring, strømmet slik du ville sett den i terminalen: flate kartlagt, input testet, en åpning funnet, så stopper den og overlater avgjørelsen til deg.

DEN VERIFISERTE DETEKSJONSSLØYFEN

Angrep fører forsvaret.

Når angrepssiden reproduserer et funn, utformer forsvarssiden en deteksjon fra det nøyaktige beviset: en Sigma-regel forankret i hva som faktisk skjedde, ikke i en løs beskrivelse av det. Det utkastet stoles ikke på ved første blikk. Det kompileres, spilles av, og måles mot en instrumentert SIEM-dobbel før noe skrives ned.

En regel sendes bare hvis den klarer alle de fire portene under. Bommer den på én, holdes den tilbake til et menneske har sett på den. Portene feiler lukket, så stillhet betyr alltid holdt, aldri sendt.

G1

Den kompilerer.

Den utformede regelen kompilerer rent til SIEM-ets eget spørrespråk.

G2

Den utløses.

Regelen treffer nøyaktig den exploiten som produserte den, spilt av mot en instrumentert dobbel.

G3

Den tåler en variant.

Den utløses fortsatt etter at angrepet er mutert, så den fanger teknikken og ikke en bokstavelig payload.

G4

Den holder seg stille.

Den holder seg under en terskel for falske positiver på godartet trafikk, så den drukner ikke analytikeren som tar den i bruk.

OM OFFLINE-DEMOEN

Demoen kjører uten nettverk og uten nøkler. I den sendes eksempeldeteksjonen fra en medfølgende mal fremfor en live modell, så gjennomgangen er identisk på enhver maskin. Sløyfen og de fire portene er de ekte; kun beviset er ferdiglaget.

pre-alpha . apache-2.0 . ingen telemetri . kjører offline