Module Creator
为 SIEM Rule 创建告警处理模块,将原始告警转换为 Case/Alert/Artifact.
触发场景
- 新建一个 SIEM Rule 的处理模块
- 编写告警处理脚本
- 将 SIEM 告警接入 ASP 的 SIRP 管道
使用样例
输入
| 参数 | 说明 |
|---|---|
| Rule 名称 | SIEM Rule 全名,同时也是模块文件名和 Redis Stream 名称 |
| raw_alert 样本 | 从 Redis Stream / 文件 / Redis Insight 获取的原始告警 JSON |
输出
MODULES/<rule-name>.py: 处理模块代码TEST/test_module_<slug>.py: 测试脚本
依赖
底层依赖: BaseModule, PLUGINS.SIRP.sirpapi(Alert, Case), PLUGINS.SIRP.sirpcoremodel(数据模型), PLUGINS.SIRP.correlation(关联聚合).
文件名必须与 SIEM Rule 名称完全一致(区分大小写). 先获取 raw_alert 样本再写代码,不要猜测字段结构.