下午好,我是OSIM助手,
欢迎使用智能问答我会为你提供最合适的安全场景分析建议
APT29 攻击指标提取与转换
APT29 攻击指标提取与转换
提取 APT29 攻击相关指标,并完成指标格式的标准化转换,适配威胁情报分析与检测规则构建的业务需求,提升攻击特征的可复用性
日志数据映射
日志数据映射
对日志数据进行标准映射,转化为OSIM标准审计格式
数据质量校验
数据质量校验
数据质量自动分析校验,确保安全分析数据靠谱可用
合规数据编排师
合规数据编排师
智能体
将用户提交的原始数据转化为符合不同行业上报规范的结构化数据
字段映射
字段映射
实现异构数据字段匹配,统一安全分析数据维度
蜜罐数据库的逼真审计表构造
蜜罐数据库的逼真审计表构造
按需构造蜜罐数据库的高逼真度审计表,模拟真实业务数据形态,增强蜜罐对攻击者的诱捕效果与攻击行为溯源能力
collapse收起
refresh换一换
探索案例
security scenario综合智能体
feature
威胁查询速译员

面向 SOC/SOAR 运营场景,根据您提供的威胁检测需求,自动转化为适配 SIEM/SOAR 平台、威胁狩猎工具的标准化专业查询语句,精准覆盖异常行为检测、跨平台 IOC 匹配等核心场景

feature
Schema数据导师

具备OSIM Schema(数据模式 / 架构) 为核心知识体系,集数据结构规划、Schema 设计指导、合规校验、问题诊断与知识赋能于一体的智能交互系统,答疑解惑,帮助您更好的理解OSIM数据

feature
合规数据编排师

根据您所提交的原始数据,通过数据格式标准化、指标口径对齐、行业规则映射,将其转化为符合金融、政务、医疗、能源等不同行业上报规范的结构化数据

security scenario安全场景
字段映射实现异构数据字段匹配,统一安全分析数据维度
字段映射
数据质量校验数据质量自动分析校验,确保安全分析数据靠谱可用
数据质量校验
威胁规则生成支持一键生成 Sigma/Yara 规则,快速检测安全威胁
威胁规则生成
响应处置剧本设计编排安全事件处置流程,实现标准化应急响应操作
响应处置剧本设计
网端关联分析围绕网端关联,梳理网络和终端安全事件的内在联系
网端关联分析
高危事件智能侦查统计关联分析,让撞库、暴力破解等高危事件无处可藏
高危事件智能侦查
推荐案例
case iconSIEM凭证转储取证分析红队(攻击方)在执行原子测试(例如 T1003 凭证转储)后,蓝队(防御方)往往不知道自己的 SIEM 是否成功记录了关键证据。这个场景是让 AI 充当"裁判"。我刚刚在测试机上模拟了 Mimikatz 的攻击行为。这是我从 SIEM 导出的最近 10 分钟的原始 JSON 日志。请根据 OSIM alert.credential_access 标准,检查这些日志中是否包含了完整的取证证据?缺了什么字段会导致我们无法定性攻击?
无文件上传
质量检查
view count123
use count123
生成同款
case icon蜜罐数据库的逼真审计表构造背景: 部署蜜罐(Honeypot)或蜜标(Honeytoken)时,最大的痛点是"假得太明显"。如果攻击者入侵了一个数据库,发现里面的字段命名混乱或缺乏关键审计字段,他们会立刻意识到这是陷阱。为了欺骗高水平的攻击者,你需要生成极其逼真、符合工业标准的伪造数据结构。 我要在蜜罐数据库里伪造一张'员工登录审计表',用来诱捕尝试 dump 数据的攻击者。请利用 OSIM 标准生成建表语句,并生成 5 条看起来非常真实的虚假登录日志(包括成功的和失败的),字段要全,不仅要有 IP,还要有 session_id 和 login_type。
无文件上传
质量检查
view count123
use count123
生成同款
case icon跨平台IOC检索查询语句生成Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。
无文件上传
质量检查
view count123
use count123
生成同款
case iconSOAR剧本IP数据校验代码在 SOAR(安全编排自动化响应)剧本中,一旦上游(如防火墙告警)传递给下游(如封禁 IP 接口)的数据格式不对(例如 IP 字段为空,或者包含了掩码),整个剧本就会报错中断。我正在编写一个'自动封禁'剧本。请帮我写一段 Python 校验代码。在调用封禁 API 之前,检查传入的数据对象是否符合 asset.ip_address 的 OSIM 定义,特别是校验 IP 格式是否合法,如果不合法抛出具体错误。
无文件上传
质量检查
view count123
use count123
生成同款
case iconOSIM标准恶意软件告警必填字段OC(安全运营中心)分析师在处理一起安全事件时,需要填写标准化的工单或报告。新手分析师往往不知道需要收集哪些关键信息。我正在处理一起勒索软件感染事件,需要通过 API 上报给总部的态势感知平台。请问根据 OSIM 标准,'恶意软件'类告警有哪些必填字段是我必须收集的?
无文件上传
质量检查
view count123
use count123
生成同款
case iconNginx日志转换为OSIM审计格式我有一段 Nginx 的访问日志样例(附带日志内容)。请帮我写一个 Python 脚本,将其解析并映射为 OSIM 的 HTTP 审计日志格式。请确保字段对应准确。127.0.0.1 - - [08/Dec/2025:15:56:01 +0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36" 192.168.1.105 - - [08/Dec/2025:15:56:05 +0800] "GET /css/style.css HTTP/1.1" 304 0 "http://localhost/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36" 10.0.0.52 - - [08/Dec/2025:15:56:12 +0800] "POST /api/login HTTP/1.1" 200 54 "http://localhost/login" "Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6 Mobile/15E148 Safari/604.1" 203.0.113.45 - - [08/Dec/2025:15:57:30 +0800] "GET /old-page.html HTTP/1.1" 301 169 "-" "Mozilla/5.0 (X11; Linux x86_64) Gecko/20100101 Firefox/118.0" 172.16.0.22 - - [08/Dec/2025:15:58:10 +0800] "GET /images/missing.jpg HTTP/1.1" 404 153 "http://localhost/gallery" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Safari/605.1.15" 66.249.66.1 - - [08/Dec/2025:15:59:02 +0800] "GET /robots.txt HTTP/1.1" 200 102 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 192.168.1.50 - - [08/Dec/2025:16:00:15 +0800] "POST /api/upload HTTP/1.1" 500 621 "http://localhost/upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0"
无文件上传
质量检查
view count123
use count123
生成同款
case iconAPT29 攻击指标提取与转换这是一篇关于 APT29 最新活动的分析文章全文(https://www.10100.com/article/29746254)。请提取其中所有的攻击指标(IoC),并将其整理为符合 OSIM threat_intelligence 相关 schema 的 JSON 格式。
无文件上传
质量检查
view count123
use count123
生成同款
case icon威胁猎杀图谱 Schema 设计建议现代安全运营正在从"日志搜索"向"图谱分析"演进。但是,如何定义图谱中的节点(Node)和边(Edge)是一个巨大的难题。OSIM 天生就是一个完美的图数据库 Schema 定义书。我们正在用 Neo4j 构建威胁猎杀图谱。请读取 OSIM 的 asset 和 alert 相关定义,帮我设计图谱的 Schema(节点标签和关系)。例如,'主机'和'IP'是什么关系?'进程'和'文件'是什么关系?
无文件上传
质量检查
view count123
use count123
生成同款