В сфере реагирования на инциденты информационной безопасности появился новый инструмент с открытым исходным кодом, призванный ускорить первичный разбор событий. Проект BlueTriage, размещённый на GitHub, представляет собой упрощённый движок для триажа логов Windows. Его основная задача - помочь аналитикам быстро преобразовать сырые данные журналов событий в понятный отчёт с выделенными угрозами, минуя сложные этапы настройки полноценных SIEM-систем.
Идея инструмента родилась из типичной операционной проблемы. Часто при расследовании инцидента специалисты уже выгрузили логи, например, Security-журналы Windows, но перед ними лежит массив неструктурированных данных в формате JSON. Ручной анализ такого объёма информации занимает много времени. BlueTriage предлагает автоматизировать начальный этап. Он принимает события в JSON, нормализует их к единой схеме данных, а затем прогоняет через набор готовых правил обнаружения. На выходе система формирует два ключевых артефакта: файл с алертами и наглядный HTML-отчёт для первичного анализа.
Архитектура текущей минимальной жизнеспособной версии (MVP) следует цепочке «приём → нормализация → обнаружение → экспорт». Пользователь может одной командой передать инструменту файл с событиями и сразу получить читаемый результат для ревью. Это значительно сокращает время от момента получения логов до выявления первых «красных флагов».
Стартовый набор детектов сфокусирован на распространённых и критичных сценариях из Security-журнала Windows. В него входят правила для обнаружения множественных неудачных попыток входа (событие ID 4625), создания новых учётных записей пользователей (4720), добавления учётных записей в привилегированные группы, такие как «Администраторы» (4728/4732), а также создания запланированных задач (4698). Каждое правило помечено уровнем критичности. Важно, что автор привязал срабатывания к техникам из таксономии MITRE ATT&CK. Например, детект неудачных входов соотносится с техникой T1110 (Brute Force), а создание задачи - с T1053.005 (Scheduled Task). Это позволяет аналитикам сразу ассоциировать алерты с известными моделями поведения злоумышленников, что ускоряет классификацию инцидента.
Техническая реализация проекта основана на Python. Для запуска в текущей версии требуется среда Windows и виртуальное окружение Python. Процесс установки и использования стандартен: клонирование репозитория, создание виртуального окружения, установка зависимостей. После этого доступны две основные команды: "scan-json" для сканирования JSON-файла и генерации файла алертов, и "report-html" для создания финального HTML-отчёта на основе этих алертов. Для рендеринга отчётов используется популярный шаблонизатор Jinja.
Развитие проекта, согласно публичной дорожной карте, планируется по нескольким ключевым направлениям. В первую очередь, автор намерен добавить прямую поддержку формата EVTX, что позволит загружать в инструмент экспорты журналов Windows без предварительного конвертирования в JSON. Вторым важным шагом станет переход с текущего формата правил на описание в YAML, по аналогии с упрощённой версией популярного стандарта Sigma. Это сделает создание и редактирование детектов более удобным и стандартизированным.
Также в планах внедрение системы скоринга для более точной оценки серьёзности каждого алерта и их автоматической сортировки по уровню критичности (от высокого к низкому). Наконец, для удобства интеграции в рабочие процессы планируется добавить возможность генерации отчётов в формате Markdown. Такие отчёты легко вставлять в тикетные системы, что упростит коммуникацию внутри команды и с другими подразделениями.
Появление BlueTriage отражает растущий запрос сообщества специалистов по безопасности на простые, специализированные утилиты, которые решают конкретные тактические задачи. В то время как комплексные платформы SIEM и SOAR незаменимы для централизованного мониторинга и оркестрации, инструменты для быстрого триажа на месте остаются востребованными. Они позволяют быстро получить первичную оценку ситуации, особенно в условиях ограниченного времени или ресурсов. Успех такого проекта будет зависеть от темпа его развития, расширения библиотеки правил и простоты интеграции в существующие практики реагирования на инциденты.
