场景导航 - OSIM

下午好，我是OSIM助手，

欢迎使用智能问答我会为你提供最合适的安全场景分析建议

高危事件智能侦查

统计关联分析，让撞库、暴力破解等高危事件无处可藏

Schema数据导师

智能体

通过自然、高效的对话交互，针对性的解答用户提出的问题，提供解决

Nginx日志解析并输出python脚本

将 Nginx 原生访问日志，按 OSIM 审计日志格式完成字段映射与格式转换

字段映射

把原始日志转化为符合OSIM标准的json格式

恶意软件类告警必填字段枚举

OSIM标准下恶意软件告警的核心必填字段枚举，提升信息的分析价值

威胁规则生成

支持一键生成 Sigma规则，快速检测安全威胁

收起

换一换

探索案例

综合智能体

查询语句生成助理

面向 SOC/SOAR 运营场景，根据您提供的威胁检测需求，自动转化为适配 SIEM/SOAR 平台、威胁狩猎工具的标准化专业查询语句，精准覆盖异常行为检测、跨平台 IOC 匹配等核心场景

Schema数据导师

具备OSIM Schema（数据模式 / 架构）为核心知识体系，集数据结构规划、Schema 设计指导、合规校验、问题诊断与知识赋能于一体的智能交互系统，答疑解惑，帮助您更好的理解OSIM数据

安全场景

字段映射把原始日志转化为符合OSIM标准的json格式

数据质量校验为你解析数据质量，提供数据质量报告并改进说明

威胁规则生成支持一键生成 Sigma规则，快速检测安全威胁

检测规则生成基于ES|QL语法生成检测规则，快速识别威胁行为

网端关联分析围绕网端关联，梳理网络和终端安全事件的内在联系

高危事件智能侦查统计关联分析，让撞库、暴力破解等高危事件无处可藏

推荐案例

SIEM凭证转储取证分析红队（攻击方）在执行原子测试（例如 T1003 凭证转储）后，蓝队（防御方）往往不知道自己的 SIEM 是否成功记录了关键证据。这个场景是让 AI 充当"裁判"。我刚刚在测试机上模拟了 Mimikatz 的攻击行为。这是我从 SIEM 导出的最近 10 分钟的原始 JSON 日志。请根据 OSIM alert.credential_access 标准，检查这些日志中是否包含了完整的取证证据？缺了什么字段会导致我们无法定性攻击？

无文件上传

质量检查

123

生成同款

蜜罐数据库的逼真审计表构造背景：部署蜜罐（Honeypot）或蜜标（Honeytoken）时，最大的痛点是"假得太明显"。如果攻击者入侵了一个数据库，发现里面的字段命名混乱或缺乏关键审计字段，他们会立刻意识到这是陷阱。为了欺骗高水平的攻击者，你需要生成极其逼真、符合工业标准的伪造数据结构。我要在蜜罐数据库里伪造一张'员工登录审计表'，用来诱捕尝试 dump 数据的攻击者。请利用 OSIM 标准生成建表语句，并生成 5 条看起来非常真实的虚假登录日志（包括成功的和失败的），字段要全，不仅要有 IP，还要有 session_id 和 login_type。

无文件上传

质量检查

123

生成同款

跨平台IOC检索查询语句生成Threat Hunter发现了一个新的 IOC(例如某黑客团伙使用的特定 User-Agent 和端口)。他需要在 Splunk、Elasticsearch 和 ClickHouse 三个不同的系统中进行检索。我想查询所有内部主机发起的,目标端口为 445,且进程名为 'powershell.exe' 的网络连接记录。请根据 OSIM 标准字段生成对应的 SQL (ClickHouse) 、 SPL (Splunk) 、ES Query(Elasticsearch)查询语句。

无文件上传

质量检查

123

生成同款

SOAR剧本IP数据校验代码在 SOAR（安全编排自动化响应）剧本中，一旦上游（如防火墙告警）传递给下游（如封禁 IP 接口）的数据格式不对（例如 IP 字段为空，或者包含了掩码），整个剧本就会报错中断。我正在编写一个'自动封禁'剧本。请帮我写一段 Python 校验代码。在调用封禁 API 之前，检查传入的数据对象是否符合 asset.ip_address 的 OSIM 定义，特别是校验 IP 格式是否合法，如果不合法抛出具体错误。

无文件上传

质量检查

123

生成同款

OSIM标准恶意软件告警必填字段OC（安全运营中心）分析师在处理一起安全事件时，需要填写标准化的工单或报告。新手分析师往往不知道需要收集哪些关键信息。我正在处理一起勒索软件感染事件，需要通过 API 上报给总部的态势感知平台。请问根据 OSIM 标准，'恶意软件'类告警有哪些必填字段是我必须收集的？

无文件上传

质量检查

123

生成同款

Nginx日志转换为OSIM审计格式我有一段 Nginx 的访问日志样例（附带日志内容）。请帮我写一个 Python 脚本，将其解析并映射为 OSIM 的 HTTP 审计日志格式。请确保字段对应准确。127.0.0.1 - - [08/Dec/2025:15:56:01 +0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36" 192.168.1.105 - - [08/Dec/2025:15:56:05 +0800] "GET /css/style.css HTTP/1.1" 304 0 "http://localhost/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36" 10.0.0.52 - - [08/Dec/2025:15:56:12 +0800] "POST /api/login HTTP/1.1" 200 54 "http://localhost/login" "Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6 Mobile/15E148 Safari/604.1" 203.0.113.45 - - [08/Dec/2025:15:57:30 +0800] "GET /old-page.html HTTP/1.1" 301 169 "-" "Mozilla/5.0 (X11; Linux x86_64) Gecko/20100101 Firefox/118.0" 172.16.0.22 - - [08/Dec/2025:15:58:10 +0800] "GET /images/missing.jpg HTTP/1.1" 404 153 "http://localhost/gallery" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0 Safari/605.1.15" 66.249.66.1 - - [08/Dec/2025:15:59:02 +0800] "GET /robots.txt HTTP/1.1" 200 102 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 192.168.1.50 - - [08/Dec/2025:16:00:15 +0800] "POST /api/upload HTTP/1.1" 500 621 "http://localhost/upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0"

无文件上传

质量检查

123

生成同款

APT29 攻击指标提取与转换这是一篇关于 APT29 最新活动的分析文章全文（https://www.10100.com/article/29746254）。请提取其中所有的攻击指标（IoC），并将其整理为符合 OSIM threat_intelligence 相关 schema 的 JSON 格式。

无文件上传

质量检查

123

生成同款

威胁猎杀图谱 Schema 设计建议现代安全运营正在从"日志搜索"向"图谱分析"演进。但是，如何定义图谱中的节点（Node）和边（Edge）是一个巨大的难题。OSIM 天生就是一个完美的图数据库 Schema 定义书。我们正在用 Neo4j 构建威胁猎杀图谱。请读取 OSIM 的 asset 和 alert 相关定义，帮我设计图谱的 Schema（节点标签和关系）。例如，'主机'和'IP'是什么关系？'进程'和'文件'是什么关系？

无文件上传

质量检查

123

生成同款