# openNSRT **Repository Path**: SteveRocket/openNSRT ## Basic Information - **Project Name**: openNSRT - **Description**: 网络安全体系化建设SCMDB、EDR、NDR、CAASM、AEMS、HoneyPot、SIEM、XDR、VAS、LAS、TIS、VDBS、SOAR、THS、DSAS、AISPM、WAF、WSM、SSAP、NSRT、SecTools、ASES、BSMPS、UEBA、TPFWS、CNAPP、PTS、IoT SOC、AISOC http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 0 - **Created**: 2026-04-04 - **Last Updated**: 2026-07-06 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 网络安全自动化应急响应工具系统(NSRT) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](index.jpg) ![](事件列表.jpg) ![](剧本管理.jpg) ![](威胁指标.jpg) ![](威胁指标2.jpg) ![](情报中心.jpg) ![](执行记录.jpg) ![](规则引擎.jpg) ![](资产列表.jpg) 传统安全防御体系的“检测-告警-人工响应”模式已难以应对当前攻击的速度与复杂度——攻击者从突破边界到达成目的的平均时间已压缩至小时级,而企业安全团队从发现告警到完成处置的平均周期仍以天为单位。这种“攻防时效差”构成了当代企业安全运营的核心矛盾。 我们的网络安全自动化应急响应工具系统(NSRT,Network Security automated Response Toolkit)并非对传统SIEM或SOAR产品的简单替代,而是一套以“实战化应急”为设计原点的专业级装备:面向安全事件发生后至关重要的“黄金响应窗口”,提供从数据采集、取证溯源、威胁狩猎到联动处置的一体化能力,将依赖专家经验的离散操作转化为标准化、自动化、可复用的数字化工作流。 我们的NSRT定位于“事件响应侧的专用工具链”——它不追求大而全的日常安全运营覆盖,而是聚焦于“事发后”这一关键阶段,解决“攻击入口在哪、影响范围多大、根因是什么、如何彻底清除”这四个核心命题。对于政企客户、监管单位及安全服务机构而言,我们NSRT的价值不仅在于提升效率,更在于将应急能力从“依赖个别专家”的作坊模式升级为“标准化可复制”的工业模式。 接下来为大家分享下我们自研的网络安全自动化应急响应工具系统(NSRT,Network Security automated Response Toolkit)功能架构与特性,下面统称为NSRT ## 核心功能架构:从采集到闭环的四层能力 我们自研的NSRT系统功能体系分为四个递进层次:**数据采集层**奠定基础,**分析引擎层**完成研判,**响应处置层**执行闭环,**报告与合规层**实现归档。各层之间通过自动化编排引擎串联,形成从“发生了什么”到“该怎么处置”再到“如何防止再发生”的完整价值链条。 ### (一)多维度数据采集与取证能力 攻击者在系统中留下的痕迹是碎片化、多层次的——从内存中的进程信息到磁盘上的文件残留,从日志中的异常记录到网络流量的可疑外联。任一维度的缺失都可能导致攻击链断裂、根因无法定位。 我们NSRT系统的采集能力覆盖以下维度: **1. 主机层全量数据采集** 支持对Windows、Linux等主流操作系统的易失性数据与非易失性数据进行一键式采集。易失性数据包括:运行进程列表、网络连接状态、登录会话信息、内存镜像、服务与驱动列表、计划任务等——这些数据在系统重启后将永久丢失,我们系统做了数据存储。非易失性数据则涵盖:文件系统元数据、日志文件(系统日志、安全日志、应用日志)、注册表项、启动项配置、隐藏文件与ADS流等。 **2. 远程与虚拟化环境适配** 区别于需要预装Agent的传统方案,我们NSRT系统采用无侵入式采集架构:通过远程服务调用或临时部署轻量级采集器,即可对远程主机、虚拟化云主机进行同等深度的数据获取。这一特性对于应急场景至关重要——攻击发生后,在受影响主机上安装持久化Agent既可能破坏现场痕迹,也可能触发攻击者的反取证机制。 **3. 网络侧流量证据固化** 除主机数据外,我们NSRT系统集成流量取证能力:支持对PCAP数据包的捕获与留存,关联会话日志、DNS请求记录、HTTP访问日志等元数据。流量证据的价值在于提供主机侧无法反映的攻击链环节——例如C2通信特征、横向移动的网络路径、数据外传的目标地址等。 **4. 采集策略的智能化推荐** NSRT系统已引入AI辅助采集能力:基于初始告警类型(如勒索软件、Webshell上传、异常登录),系统自动推荐采集项组合,避免人工选择采集维度时的疏漏。例如,针对Webshell告警,系统会优先采集Web目录文件时间线、Web进程关联句柄、网络外联目标等关键数据。 ### (二)攻击链重构与智能溯源引擎 采集到的原始数据是离散的证据碎片,将其串联为完整的攻击叙事是我们NSRT系统的核心价值所在。这一过程涉及三个层次的分析能力: **1. 时间轴驱动的攻击链重构** 以时间为索引,将主机行为、文件变更、网络连接、日志记录等多源数据对齐到统一时间线。引擎自动识别攻击链的关键节点:初始入侵(Initial Access)、持久化驻留(Persistence)、权限提升(Privilege Escalation)、防御绕过(Defense Evasion)、横向移动(Lateral Movement)、数据渗出(Exfiltration)。每一节点的判定均有对应的证据支撑——例如,通过注册表Run键的修改时间与新增文件创建时间的关联,判定持久化机制的建立时刻。 **2. 基于ATT&CK框架的行为映射** 将识别出的攻击行为映射至MITRE ATT&CK框架的技术ID(TTPs),为后续的防御策略优化提供结构化输入。例如,检测到PowerShell远程下载执行行为对应T1059.001,WMI横向移动对应T1047。这一映射不仅服务于本次事件的定性,更可沉淀为组织内部的攻击行为知识库。 **3. 多维威胁情报关联** 将溯源过程中提取的威胁指标(IP、域名、文件哈希、证书指纹等)与云端威胁情报库进行碰撞。还可以进一步通过图数据库技术,可展示威胁指标之间的关联关系——例如,一个看似孤立的C2域名可能与已知APT组织的其他基础设施存在注册邮箱相同、证书链相似等隐含关联,从而将孤立事件提升至组织级威胁视野。 **4. 根因定位与入口反推** 攻击链重构的最终目标是回答“攻击者是如何进来的”。我们的NSRT系统通过逆向分析攻击链的首个异常节点,结合漏洞扫描结果与资产暴露面信息,反推初始入侵向量。典型场景包括:某Web应用的特定URI在攻击时间窗口前后的访问日志异常,与该Web应用对应组件的历史漏洞库比对,定位漏洞利用入口。 对应的 多引擎脆弱性扫描系统VAS、资产暴露面管理系统 特性可以阅读我们以前分享的文章。 ### (三)自动化编排与智能处置 完成分析研判后,我们NSRT系统的核心价值释放于处置环节。传统模式下,分析结论到处置动作之间存在巨大的执行鸿沟——安全人员需要手动登录各类设备执行封禁策略,这一过程效率低下且易出错。我们的NSRT系统通过预案库与联动接口,将处置动作自动化、标准化。 **1. 预案库与处置剧本** 预案是预设的标准化处置流程,针对不同类型的攻击场景定义响应策略。典型预案包括: - **勒索软件处置预案**:隔离受影响主机网络 → 终止恶意进程 → 提取勒索信息与样本 → 全网排查IOC → 阻断C2通信 - **Webshell处置预案**:隔离Web服务器 → 提取Webshell样本与特征 → 全站扫描同类文件 → 分析上传路径与漏洞 → 修复漏洞或临时封禁攻击IP - **异常登录处置预案**:锁定异常账户 → 强制会话下线 → 溯源登录来源IP → 分析爆破工具特征 → 临时封禁攻击IP段 预案可通过可视化编排界面进行拖拽式编辑,降低对安全人员编程能力的要求。高级产品支持预案的版本管理、灰度发布与回滚机制,确保处置策略的变更可控。 **2. 多设备联动接口** NSRT的价值高度依赖于其生态对接能力。预置了对主流安全设备与IT基础设施的联动接口: - **网络层**:防火墙策略下发(临时IP/端口封禁)、交换机ACL配置(端口隔离/VLAN隔离)、Web网关URL阻断 - **主机层**:EDR/EPP平台联动(进程终止、文件隔离、注册表修复)、AD域控操作(账户禁用、密码重置) - **应用层**:邮件网关联动(恶意邮件撤回)、云平台API调用(虚拟机快照、安全组策略调整) 联动方式支持主动拉取(NSRT下发指令)与被动回调(第三方系统调用NSRT分析结果触发处置)两种模式。 ### (四)报告生成与合规支撑 应急响应的闭环不仅是技术层面的威胁清除,更包括管理层面的过程归档。我们的NSRT系统提供符合监管要求的报告生成能力: **1. 多角色差异化报告** - **技术报告**:面向安全团队,包含完整攻击链时间线、IOC清单、取证数据摘要、处置操作记录 - **管理报告**:面向管理层,突出事件影响范围、业务损失评估、响应时效统计、改进建议优先级 - **合规报告**:面向监管报送,依据《信息安全技术网络安全事件分类分级指南》等国家标准进行事件定级与描述 **2. 证据链完整性与防篡改** 所有采集的原始数据、分析过程记录、处置操作日志均进行哈希校验与时间戳固化,确保在法律诉讼或合规审查中具备证据效力。部分产品支持将关键证据上链存证。 **3. 知识库沉淀与持续优化** 每次应急响应结束后,系统自动将本次事件的特征、处置策略、效果评估归档为案例库。通过机器学习持续优化检测规则与处置预案,实现“每经历一次事件,系统能力增长一分”的进化效应。 ## 三、关键特性与技术亮点 在功能框架之上,我们NSRT系统的差异化体现在以下特性维度: ### (一)实战化设计理念 区别于实验室环境下的理想化设计,实战化NSRT: - **零预依赖部署**:无需目标主机预装Agent,无需提前配置HIDS/EDR,分钟级完成部署启动。这对突发事件的应急响应至关重要 - **离线环境可用**:考虑到政企客户的内网隔离要求,系统支持完全离线部署,威胁情报库支持定期离线更新包导入 - **反取证对抗能力**:针对攻击者可能部署的反取证机制(如日志清除、时间戳篡改),系统内置检测逻辑,能从文件系统残留、注册表键值等底层数据中恢复被破坏的证据 ### (二)AI原生架构 AI在NSRT系统中的应用已从“锦上添花”演进为“核心生产力”: - **异常检测模型**:基于LSTM的时序行为分析,识别偏离基线的隐蔽异常——例如正常管理员不会在凌晨3点执行敏感命令,即便其拥有合法权限 - **证据关联模型**:采用图神经网络对进程、文件、网络、账户等实体关系进行建模,自动发现看似无关实体的隐含关联——例如,一个伪装为系统进程的恶意程序,其文件路径与某个可疑计划任务的命令行参数存在引用关系 - **自动化根因分析**:通过大模型对告警上下文、资产信息、漏洞数据的综合分析,自动生成根因假设并以问答形式引导分析人员验证 ### (三)开放式架构与生态集成 封闭的工具箱无法应对多变的企业IT环境。我们NSRT系统的开放性体现在: - **数据源接入标准化**:支持Syslog、Kafka、HTTP API、文件拉取等多种数据接入方式,内置常用安全设备日志解析模板(防火墙、IDS/IPS、WAF、终端安全、云平台审计等) - **北向API开放**:提供RESTful API供上层运营平台调用,可将NSRT的分析与处置能力嵌入客户现有的SOC/SIEM工作流 - **南向联动接口扩展**:提供联动接口开发框架,允许客户自行扩展对新设备的联动支持 ### (四)合规内嵌与司法取证支持 对于监管单位与执法机构客户,我们的NSRT系统满足更高的证据标准: - **取证流程合规**:系统操作流程参照《信息安全技术网络安全事件应急处置工具技术规范》设计,确保取证过程的可采信性 - **电子数据固定**:支持对采集数据进行哈希校验、数字签名,确保证据完整性与不可否认性 - **案件管理能力**:多事件并行处理时,支持按案件维度隔离数据、独立归档,满足执法机构的案件管理要求 ## 四、产品价值 ### (一)核心价值 我们的NSRT系统为企业带来的价值可归纳为三个维度: - **时效价值**:将应急处置周期从“数天”压缩至“小时级”,在攻击者达成目的前完成遏制,显著降低实际损失。某客户实测数据显示,通过NSRT的自动化取证与预案执行,单事件处置时间从平均72小时降至4小时 - **能力价值**:将专家经验固化为系统能力,降低应急响应的专业门槛。初级安全分析师借助NSRT可完成原本需要高级专家才能胜任的取证溯源工作,缓解安全人才短缺的行业困境 - **合规价值**:提供标准化的应急响应过程记录与报告输出,满足监管检查、等级保护测评、ISO27001审计等合规要求 ### (二)选型关键维度 企业在评估NSRT产品时,建议重点关注以下维度: | 评估维度 | 关键考察点 | |-------|---------------------------------------| | 采集深度 | 是否覆盖主流操作系统易失性/非易失性数据;是否支持无Agent模式 | | 分析能力 | 攻击链重构的自动化程度;威胁情报的质量与更新频率;是否支持ATT&CK映射 | | 联动广度 | 预置联动接口覆盖的设备类型;是否支持自定义联动扩展 | | AI成熟度 | AI功能是概念包装还是实际落地;异常检测的误报率与可解释性 | | 部署模式 | 是否支持纯离线环境;是否提供硬件一体机与软件镜像两种交付形态 | | 合规适配 | 报告模板是否符合国内监管要求;证据固化机制是否满足司法取证标准 | ## 后面计划 我们自研的NSRT系统未来12-24个月计划方向包括: - **大模型深度融合**:LLM将从当前的“辅助交互”角色升级为“自主研判”角色——系统能够自动阅读威胁情报报告、漏洞公告,并映射为检测规则与处置预案 - **跨事件关联分析**:从单事件的孤立分析演进为跨时间、跨资产的多事件关联,识别低频慢速的APT攻击模式 - **自适应防御闭环**:将应急响应中发现的攻击特征自动转化为防御策略(如生成WAF规则、更新EDR检测模型),实现“检测-响应-防御”的实时闭环 - **AI辅助的处置决策** 引入大语言模型(LLM)增强处置决策质量是当前产品演进的重要方向。具体体现为: - **处置方案智能推荐**:基于事件类型、受影响资产重要性、攻击活跃度等维度,推荐处置强度——例如针对核心数据库服务器的可疑连接,优先推荐“会话监听取证”而非直接“网络隔离”,避免业务中断 - **自然语言交互处置**:安全人员可通过自然语言下达指令(如“把这个IP在所有边界防火墙上封禁24小时”),AI自动解析为具体设备指令并执行 - **处置效果预测与回滚预案**:执行前预判处置动作对业务的影响范围,并自动生成回滚方案 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 企业财务管理系统(FMS) - 企业质量管理系统(QMS) - 精准营销管理系统(PMS) - 智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider)