BlueTriage — «швейцарский нож» для тех, кому лень настраивать полноценный SIEM
NewsMakerBlueTriage нормализует события Windows в общую схему и показывает, где именно пахнет компрометацией.
На GitHub появился BlueTriage — простой инструмент для быстрого разбора логов Windows , который берёт события безопасности в формате JSON, приводит их к единой схеме и прогоняет через набор простых правил, а на выходе отдаёт файл с алертами и HTML-отчёт для первичного анализа инцидента.
По сути, BlueTriage пытается закрыть типичную боль реагирования: когда логи уже выгружены, но их нужно быстро привести к понятному виду и вытащить «красные флажки» без тяжёлых SIEM-процессов и долгой настройки. В текущем MVP автор заложил цепочку «инджест → нормализация → детекты → экспорт», чтобы можно было прогнать набор событий одной командой и получить читаемый результат для ревью.
В стартовой комплектации есть несколько правил под популярные сценарии из Security-лога Windows: неудачные попытки входа (4625), создание пользователя (4720), добавление в привилегированные группы (4728/4732) и создание запланированной задачи (4698). Каждое правило помечено уровнем критичности и привязано к техникам MITRE ATT&CK (например, T1110 для перебора паролей и T1053.005 для планировщика задач), чтобы алерты проще было «приклеивать» к знакомым моделям атак.
На GitHub появился BlueTriage — простой инструмент для быстрого разбора логов Windows , который берёт события безопасности в формате JSON, приводит их к единой схеме и прогоняет через набор простых правил, а на выходе отдаёт файл с алертами и HTML-отчёт для первичного анализа инцидента.
По сути, BlueTriage пытается закрыть типичную боль реагирования: когда логи уже выгружены, но их нужно быстро привести к понятному виду и вытащить «красные флажки» без тяжёлых SIEM-процессов и долгой настройки. В текущем MVP автор заложил цепочку «инджест → нормализация → детекты → экспорт», чтобы можно было прогнать набор событий одной командой и получить читаемый результат для ревью.
В стартовой комплектации есть несколько правил под популярные сценарии из Security-лога Windows: неудачные попытки входа (4625), создание пользователя (4720), добавление в привилегированные группы (4728/4732) и создание запланированной задачи (4698). Каждое правило помечено уровнем критичности и привязано к техникам MITRE ATT&CK (например, T1110 для перебора паролей и T1053.005 для планировщика задач), чтобы алерты проще было «приклеивать» к знакомым моделям атак.