下午好,我是OSIM助手,
我可以帮你把字段统一成 OSIM 标准格式(支持SQL、SPL、ESQL等格式),请提供你的字段信息,
并试试看这样提问:
Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。
或点击下方 推荐案例,生成同款场景对话
推荐案例
SIEM凭证转储取证分析红队(攻击方)在执行原子测试(例如 T1003 凭证转储)后,蓝队(防御方)往往不知道自己的 SIEM 是否成功记录了关键证据。这个场景是让 AI 充当"裁判"。我刚刚在测试机上模拟了 Mimikatz 的攻击行为。这是我从 SIEM 导出的最近 10 分钟的原始 JSON 日志。请根据 OSIM alert.credential_access 标准,检查这些日志中是否包含了完整的取证证据?缺了什么字段会导致我们无法定性攻击?
蜜罐数据库的逼真审计表构造背景: 部署蜜罐(Honeypot)或蜜标(Honeytoken)时,最大的痛点是"假得太明显"。如果攻击者入侵了一个数据库,发现里面的字段命名混乱或缺乏关键审计字段,他们会立刻意识到这是陷阱。为了欺骗高水平的攻击者,你需要生成极其逼真、符合工业标准的伪造数据结构。 我要在蜜罐数据库里伪造一张'员工登录审计表',用来诱捕尝试 dump 数据的攻击者。请利用 OSIM 标准生成建表语句,并生成 5 条看起来非常真实的虚假登录日志(包括成功的和失败的),字段要全,不仅要有 IP,还要有 session_id 和 login_type。跨平台IOC检索查询语句生成Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。SOAR剧本IP数据校验代码在 SOAR(安全编排自动化响应)剧本中,一旦上游(如防火墙告警)传递给下游(如封禁 IP 接口)的数据格式不对(例如 IP 字段为空,或者包含了掩码),整个剧本就会报错中断。我正在编写一个'自动封禁'剧本。请帮我写一段 Python 校验代码。在调用封禁 API 之前,检查传入的数据对象是否符合 asset.ip_address 的 OSIM 定义,特别是校验 IP 格式是否合法,如果不合法抛出具体错误。OSIM标准恶意软件告警必填字段OC(安全运营中心)分析师在处理一起安全事件时,需要填写标准化的工单或报告。新手分析师往往不知道需要收集哪些关键信息。我正在处理一起勒索软件感染事件,需要通过 API 上报给总部的态势感知平台。请问根据 OSIM 标准,'恶意软件'类告警有哪些必填字段是我必须收集的?Nginx日志转换为OSIM审计格式我有一段 Nginx 的访问日志样例(附带日志内容)。请帮我写一个 Python 脚本,将其解析并映射为 OSIM 的 HTTP 审计日志格式。请确保字段对应准确。127.0.0.1 - - [08/Dec/2025:15:56:01 +0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36" 192.168.1.105 - - [08/Dec/2025:15:56:05 +0800] "GET /css/style.css HTTP/1.1" 304 0 "http://localhost/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36" 10.0.0.52 - - [08/Dec/2025:15:56:12 +0800] "POST /api/login HTTP/1.1" 200 54 "http://localhost/login" "Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6 Mobile/15E148 Safari/604.1" 203.0.113.45 - - [08/Dec/2025:15:57:30 +0800] "GET /old-page.html HTTP/1.1" 301 169 "-" "Mozilla/5.0 (X11; Linux x86_64) Gecko/20100101 Firefox/118.0" 172.16.0.22 - - [08/Dec/2025:15:58:10 +0800] "GET /images/missing.jpg HTTP/1.1" 404 153 "http://localhost/gallery" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Safari/605.1.15" 66.249.66.1 - - [08/Dec/2025:15:59:02 +0800] "GET /robots.txt HTTP/1.1" 200 102 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 192.168.1.50 - - [08/Dec/2025:16:00:15 +0800] "POST /api/upload HTTP/1.1" 500 621 "http://localhost/upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0"APT29 攻击指标提取与转换这是一篇关于 APT29 最新活动的分析文章全文(https://www.10100.com/article/29746254)。请提取其中所有的攻击指标(IoC),并将其整理为符合 OSIM threat_intelligence 相关 schema 的 JSON 格式。威胁猎杀图谱 Schema 设计建议现代安全运营正在从"日志搜索"向"图谱分析"演进。但是,如何定义图谱中的节点(Node)和边(Edge)是一个巨大的难题。OSIM 天生就是一个完美的图数据库 Schema 定义书。我们正在用 Neo4j 构建威胁猎杀图谱。请读取 OSIM 的 asset 和 alert 相关定义,帮我设计图谱的 Schema(节点标签和关系)。例如,'主机'和'IP'是什么关系?'进程'和'文件'是什么关系?