Den kompilerer.
Den utformede regelen kompilerer rent til SIEM-ets eget spørrespråk.
MEKANISMEN
Riposte kjører en sammenhengende sløyfe fra terminalen din. Angrepssiden finner og reproduserer en ekte åpning; forsvarssiden skriver en regel ut fra det nøyaktige beviset for å fange den neste gang. Du har kommandoen over hvert steg imellom.
OPERATØRSLØYFEN
Den enumererer det autoriserte målet og noterer hver vert, port og flate som svarer. Ingenting utenfor scopet du setter blir noen gang rørt.
Den bearbeider hver flate slik et menneske ville, rangerer inputene som mest sannsynlig gir etter og jobber dem én om gangen.
Når en flate gir etter, lander den åpningen mot en referanse og fanger nøyaktig hva som skjedde, så funnet står på eget bevis.
Hvert konsekvensrikt trekk stopper før deg. Press på, loggfør det, eller stopp. Operatøren eskalerer aldri på egen hånd.
EN KJØRING, LINJE FOR LINJE
En enkelt kjøring, strømmet slik du ville sett den i terminalen: flate kartlagt, input testet, en åpning funnet, så stopper den og overlater avgjørelsen til deg.
DEN VERIFISERTE DETEKSJONSSLØYFEN
Når angrepssiden reproduserer et funn, utformer forsvarssiden en deteksjon fra det nøyaktige beviset: en Sigma-regel forankret i hva som faktisk skjedde, ikke i en løs beskrivelse av det. Det utkastet stoles ikke på ved første blikk. Det kompileres, spilles av, og måles mot en instrumentert SIEM-dobbel før noe skrives ned.
En regel sendes bare hvis den klarer alle de fire portene under. Bommer den på én, holdes den tilbake til et menneske har sett på den. Portene feiler lukket, så stillhet betyr alltid holdt, aldri sendt.
Den utformede regelen kompilerer rent til SIEM-ets eget spørrespråk.
Regelen treffer nøyaktig den exploiten som produserte den, spilt av mot en instrumentert dobbel.
Den utløses fortsatt etter at angrepet er mutert, så den fanger teknikken og ikke en bokstavelig payload.
Den holder seg under en terskel for falske positiver på godartet trafikk, så den drukner ikke analytikeren som tar den i bruk.
Demoen kjører uten nettverk og uten nøkler. I den sendes eksempeldeteksjonen fra en medfølgende mal fremfor en live modell, så gjennomgangen er identisk på enhver maskin. Sløyfen og de fire portene er de ekte; kun beviset er ferdiglaget.
pre-alpha . apache-2.0 . ingen telemetri . kjører offline