雨落秋垣
SentinelBlue 技术深度解析:蓝方实时威胁监测与自动化响应平台的架构设计与源码实现
原创
关注作者
腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
搜索
搜索
关闭
发布
雨落秋垣
社区首页
>
专栏
>
SentinelBlue 技术深度解析:蓝方实时威胁监测与自动化响应平台的架构设计与源码实现
SentinelBlue 技术深度解析:蓝方实时威胁监测与自动化响应平台的架构设计与源码实现
雨落秋垣
关注
发布于 2026-07-14 20:51:28
发布于 2026-07-14 20:51:28
90
0
举报
概述
蓝方(防守方)在对抗红方(攻击方)时,最大的痛点往往不是"看不见",而是 “看见了却没记全、记全了却来不及断”。红方的攻击是一条有严格时间顺序的链路:
文章被收录于专栏:
雨落秋垣
雨落秋垣
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系
cloudcommunity@tencent.com
删除。
安全治理
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系
cloudcommunity@tencent.com
删除。
安全治理
评论
登录
后参与评论
0 条评论
热度
最新
推荐阅读
目录
摘要
一、问题建模:为什么需要一条闭环
二、整体架构与目录结构
三、核心数据模型
3.1 快照(Snapshot)
3.2 发现(Finding)
四、监测引擎(core/monitor.py)
4.1 进程采集与异常容错
4.2 精确 CPU 占用:两次采样的时间差
4.3 学习期基线进程名
4.4 网络与文件系统采集
五、规则引擎与分析引擎
5.1 规则引擎的开放扩展点
5.2 进程生灭判定
5.3 攻击链回溯(进程树关联)
5.4 完整性富化与广度扫描
六、响应与阻断(core/responder.py)
6.1 三种响应模式
6.2 三类动作实现
6.3 防御性编程:五道安全闸门
6.4 可回滚处置:误杀可恢复
七、审计与留痕(core/recorder.py)
7.1 表结构与索引
7.2 线程安全与导出
八、安全基线哈希(core/baseline.py)
九、实时告警推送(core/notifier.py)
十、报告生成(core/report.py)
十一、主程序编排(main.py)
十二、典型实战场景走查
十三、安装、部署与命令参考
十四、合规与安全声明
附录:完整源码
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
0
0
0
推荐