下午好,我是OSIM助手(Schema数据导师),
能帮你校验 Schema 相关问题、解答 Schema 知识,
并试试看这样提问:
帮我检查这段 MySQL 建表 SQL 的语法有没有问题
我这组 JSON 数据和对应的 Schema 对不上,能自动校验并给对齐方案吗
前端请求参数和后端 Schema 的字段名不一致,怎么解决
或点击下方 推荐案例,生成同款场景对话
推荐案例
SIEM凭证转储取证分析红队(攻击方)在执行原子测试(例如 T1003 凭证转储)后,蓝队(防御方)往往不知道自己的 SIEM 是否成功记录了关键证据。这个场景是让 AI 充当"裁判"。我刚刚在测试机上模拟了 Mimikatz 的攻击行为。这是我从 SIEM 导出的最近 10 分钟的原始 JSON 日志。请根据 OSIM alert.credential_access 标准,检查这些日志中是否包含了完整的取证证据?缺了什么字段会导致我们无法定性攻击?
蜜罐数据库的逼真审计表构造背景: 部署蜜罐(Honeypot)或蜜标(Honeytoken)时,最大的痛点是"假得太明显"。如果攻击者入侵了一个数据库,发现里面的字段命名混乱或缺乏关键审计字段,他们会立刻意识到这是陷阱。为了欺骗高水平的攻击者,你需要生成极其逼真、符合工业标准的伪造数据结构。 我要在蜜罐数据库里伪造一张'员工登录审计表',用来诱捕尝试 dump 数据的攻击者。请利用 OSIM 标准生成建表语句,并生成 5 条看起来非常真实的虚假登录日志(包括成功的和失败的),字段要全,不仅要有 IP,还要有 session_id 和 login_type。跨平台IOC检索查询语句生成Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。SOAR剧本IP数据校验代码在 SOAR(安全编排自动化响应)剧本中,一旦上游(如防火墙告警)传递给下游(如封禁 IP 接口)的数据格式不对(例如 IP 字段为空,或者包含了掩码),整个剧本就会报错中断。我正在编写一个'自动封禁'剧本。请帮我写一段 Python 校验代码。在调用封禁 API 之前,检查传入的数据对象是否符合 asset.ip_address 的 OSIM 定义,特别是校验 IP 格式是否合法,如果不合法抛出具体错误。OSIM标准恶意软件告警必填字段OC(安全运营中心)分析师在处理一起安全事件时,需要填写标准化的工单或报告。新手分析师往往不知道需要收集哪些关键信息。我正在处理一起勒索软件感染事件,需要通过 API 上报给总部的态势感知平台。请问根据 OSIM 标准,'恶意软件'类告警有哪些必填字段是我必须收集的?Nginx日志转换为OSIM审计格式我有一段 Nginx 的访问日志样例(附带日志内容)。请帮我写一个 Python 脚本,将其解析并映射为 OSIM 的 HTTP 审计日志格式。请确保字段对应准确。127.0.0.1 - - [08/Dec/2025:15:56:01 +0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36" 192.168.1.105 - - [08/Dec/2025:15:56:05 +0800] "GET /css/style.css HTTP/1.1" 304 0 "http://localhost/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36" 10.0.0.52 - - [08/Dec/2025:15:56:12 +0800] "POST /api/login HTTP/1.1" 200 54 "http://localhost/login" "Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6 Mobile/15E148 Safari/604.1" 203.0.113.45 - - [08/Dec/2025:15:57:30 +0800] "GET /old-page.html HTTP/1.1" 301 169 "-" "Mozilla/5.0 (X11; Linux x86_64) Gecko/20100101 Firefox/118.0" 172.16.0.22 - - [08/Dec/2025:15:58:10 +0800] "GET /images/missing.jpg HTTP/1.1" 404 153 "http://localhost/gallery" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Safari/605.1.15" 66.249.66.1 - - [08/Dec/2025:15:59:02 +0800] "GET /robots.txt HTTP/1.1" 200 102 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 192.168.1.50 - - [08/Dec/2025:16:00:15 +0800] "POST /api/upload HTTP/1.1" 500 621 "http://localhost/upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0"APT29 攻击指标提取与转换这是一篇关于 APT29 最新活动的分析文章全文(https://www.10100.com/article/29746254)。请提取其中所有的攻击指标(IoC),并将其整理为符合 OSIM threat_intelligence 相关 schema 的 JSON 格式。威胁猎杀图谱 Schema 设计建议现代安全运营正在从"日志搜索"向"图谱分析"演进。但是,如何定义图谱中的节点(Node)和边(Edge)是一个巨大的难题。OSIM 天生就是一个完美的图数据库 Schema 定义书。我们正在用 Neo4j 构建威胁猎杀图谱。请读取 OSIM 的 asset 和 alert 相关定义,帮我设计图谱的 Schema(节点标签和关系)。例如,'主机'和'IP'是什么关系?'进程'和'文件'是什么关系?