$ loading_
基于进程血缘与稀有度基线分析EVTX日志,快速定位真实安全威胁。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"SigmaLineage MCP" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
分析这批 Windows EVTX 安全日志,围绕可疑登录事件追踪后续进程血缘,结合稀有度基线找出异常执行、横向移动和提权行为,并按时间线总结关键威胁。
输出按时间排序的攻击链分析,标出可疑进程、异常父子关系、低频行为及高风险告警。
对这组安全告警对应的 EVTX 日志做上下文关联分析,利用进程血缘和历史稀有度基线区分误报与真实威胁,并给出每条高风险事件的判断依据。
输出去噪后的高优先级事件清单,并附带威胁判定理由和处置优先级建议。
检查这批终端的 EVTX 日志,建立常见进程行为基线,找出罕见的命令执行、脚本启动和父子进程组合,并说明哪些模式最可能代表入侵活动。
输出异常行为摘要,列出最可疑的稀有模式、相关主机与建议进一步调查方向。
用自然语言联动多种安全数据源,快速完成威胁狩猎与事件响应分析。
帮助用户从 OpenCTI 快速检索并整合威胁情报、指标与报告上下文。
可对 Python 代码做静态污点分析,追踪数据流并发现安全漏洞。
通过威胁情报查询与事件回溯,辅助安全研判和自动化处置。
帮助安全分析人员研判安全事件、映射ATT&CK并给出处置建议
用自然语言检索并分析 Sentry 问题、事件与链路,辅助定位和排查故障