Skip to content

Releases: zavetsec/rosetta

ZavetSec Rosetta — v1.0.0

26 Jun 07:12
@zavetsec zavetsec
v1.0.0
f163545
This commit was created on GitHub.com and signed with GitHub’s verified signature.
GPG key ID: B5690EEEBB952194
Verified
Learn about vigilant mode.

Choose a tag to compare

View all tags
ZavetSec Rosetta — v1.0.0 Latest
Latest

Detection Codex: одна техника ATT&CK — три ракурса. Чем атакуют → какой след в логах → как это выявить.

🚀 Первый публичный релиз. Один автономный HTML-файл, работает офлайн и в air-gap. 🌐 Live: zavetsec.github.io/rosetta  ·  🔵 синее зеркало Pentest Codex

◥ Главное

  • 53 техники ATT&CK по 12 тактикам kill-chain — выверенный базовый набор Windows / Active Directory / Cloud-Identity
  • На каждую технику: атакующая команда → телеметрия (источник + Event ID) → пререкизиты логирования → правило детекта под выбранный SIEM
  • 4 диалекта детекта, переключаются одной кнопкой: Sigma · Splunk SPL · Microsoft Sentinel KQL · Elastic / Wazuh
  • Интерактивная самооценка покрытия с экспортом/импортом в JSON
  • Валидный экспорт Sigma — включая 10 правил в формате Sigma v2 correlation
  • Один самодостаточный HTML-файл — без зависимостей и внешних запросов

◣ Что нового в этом релизе

Контент детекта

  • 53 техники ATT&CK по 12 тактикам (Initial Access → Impact)
  • 4 диалекта на каждую технику: Sigma, Splunk SPL, Sentinel KQL, Elastic / Wazuh
  • Разметка типа детекта: 41 Atomic (одно событие) + 12 Behavioral (порог / корреляция / baseline)
  • 10 поведенческих правил оформлены как Sigma v2 correlation (event_count / value_count / temporal_ordered)
  • Заметки по ложным срабатываниям и тюнингу на каждую технику
  • Покрытие Cloud / Identity: Entra ID (SigninLogs / AuditLogs) и AWS CloudTrail — Valid Cloud Accounts, MFA Fatigue, OAuth Consent Grant, Modify MFA / Auth, Add Cloud Credentials, Create Cloud Account, Federation Trust Mod, Cloud Storage Access

Слой телеметрии

  • Пререкизиты логирования на каждую технику — что включить (auditpol, GPO, Sysmon EID, журналы), чтобы событие вообще появилось
  • Источник лога и конкретный Event ID в панели телеметрии

Самооценка покрытия

  • Статус Покрыто · Частично · Не покрыто на каждой технике (тап на карточке или в модалке)
  • Общий процент покрытия + разбивка по 12 тактикам
  • Хранение локально в браузере (localStorage)
  • Экспорт/импорт оценки в JSON — бэкап, версионирование, передача команде
  • Фильтр матрицы по статусу — фокус только на гэпах

Экспорт и навигация

  • Экспорт Sigma по одной технике и всего кодекса одним бандлом
  • Метаданные в экспорте: id (UUID), status, description, references (attack.mitre.org), tags: attack.*, date
  • Deep-linking — прямая ссылка на технику (…#T1003.001), открывается сразу; кнопка копирования ссылки
  • Текстовый поиск по технике / инструменту / типу детекта
  • Дата ревизии правил, пояснение шкалы severity и легенды

Интерфейс

  • Адаптивная вёрстка: горизонтальная матрица на десктопе, вертикальная стопка на телефоне
  • Фирменный стиль ZavetSec: тёмный фон, зелёный акцент, метафора purple = red + blue, JetBrains Mono + Rajdhani, scanline
  • 100% self-contained HTML (~179 KB), без CDN и внешних запросов

Покрытие

53 техники по 12 тактикам ATT&CK:

Тактика #
TA0001 Initial Access 4
TA0002 Execution 4
TA0003 Persistence 6
TA0004 Privilege Escalation 4
TA0005 Defense Evasion 7
TA0006 Credential Access 9
TA0007 Discovery 4
TA0008 Lateral Movement 4
TA0009 Collection 3
TA0011 Command & Control 3
TA0010 Exfiltration 2
TA0040 Impact 3

Фокус — Windows, Active Directory и облачные identity-платформы. Linux/macOS и сетевые техники пока не входят.

Зачем Rosetta?

Большинство detection-контента — это правила. Rosetta связывает три слоя, которые обычно живут порознь:

  • как действует атакующий — команда;
  • какая телеметрия должна существовать — источник, Event ID, пререкизиты логирования;
  • как защита это выявляет — правило под SIEM.

Всё — в одном офлайн-инструменте, без установки и зависимостей.

Быстрый старт

Скачай файл инструмента  →  открой в браузере  →  выбери SIEM  →  отмечай покрытие

Установка, сервер и зависимости не нужны. Или открой live-версию.

Ограничения

  • Это выверенный базовый набор, а не полное покрытие ATT&CK (200+ техник). Гэп-анализ показывает дыры относительно этих 53 техник.
  • Запросы — стартовый уровень детекта: требуют тюнинга порогов и allowlist под вашу среду. Это референс и каркас, не «развернул и забыл».
  • Поведенческие правила экспортируются как Sigma v2 correlation — для развёртывания пропусти через sigma-cli с pipeline под свой backend.
  • Самооценка покрытия хранится в localStorage браузера — для команды используй экспорт/импорт JSON.

Дальше (roadmap)

  • Двунаправленные ссылки с Pentest Codex — переход атака ↔ детект на каждой технике ATT&CK (фича всей purple-экосистемы)
  • Расширение покрытия: Linux / macOS, сетевые техники
  • Печатный / PDF-отчёт по гэп-анализу для руководства
  • Заметки на технику в оценке покрытия (причина гэпа, ссылка на тикет)

Благодарности

  • Сопоставление построено на MITRE ATT&CK
  • Формат правил — Sigma
<div align="center">

Attack-informed defense. Detection-aware offense. MIT Licensed · part of the ZavetSec purple toolkit

Full Changelog: первый релиз — https://github.com/zavetsec/rosetta/commits/v1.0.0

</div> # ZavetSec Rosetta — v1.0.0

Detection Codex: одна техника ATT&CK — три ракурса. Чем атакуют → какой след в логах → как это выявить.





🚀 Первый публичный релиз. Один автономный HTML-файл, работает офлайн и в air-gap.
🌐 Live: [zavetsec.github.io/rosetta](https://zavetsec.github.io/rosetta/)  ·  🔵 синее зеркало [Pentest Codex](https://github.com/zavetsec/pentestcodex)

◥ Главное

  • 53 техники ATT&CK по 12 тактикам kill-chain — выверенный базовый набор Windows / Active Directory / Cloud-Identity
  • На каждую технику: атакующая команда → телеметрия (источник + Event ID) → пререкизиты логирования → правило детекта под выбранный SIEM
  • 4 диалекта детекта, переключаются одной кнопкой: Sigma · Splunk SPL · Microsoft Sentinel KQL · Elastic / Wazuh
  • Интерактивная самооценка покрытия с экспортом/импортом в JSON
  • Валидный экспорт Sigma — включая 10 правил в формате Sigma v2 correlation
  • Один самодостаточный HTML-файл — без зависимостей и внешних запросов

◣ Что нового в этом релизе

Контент детекта

  • 53 техники ATT&CK по 12 тактикам (Initial Access → Impact)
  • 4 диалекта на каждую технику: Sigma, Splunk SPL, Sentinel KQL, Elastic / Wazuh
  • Разметка типа детекта: 41 Atomic (одно событие) + 12 Behavioral (порог / корреляция / baseline)
  • 10 поведенческих правил оформлены как Sigma v2 correlation (event_count / value_count / temporal_ordered)
  • Заметки по ложным срабатываниям и тюнингу на каждую технику
  • Покрытие Cloud / Identity: Entra ID (SigninLogs / AuditLogs) и AWS CloudTrail — Valid Cloud Accounts, MFA Fatigue, OAuth Consent Grant, Modify MFA / Auth, Add Cloud Credentials, Create Cloud Account, Federation Trust Mod, Cloud Storage Access

Слой телеметрии

  • Пререкизиты логирования на каждую технику — что включить (auditpol, GPO, Sy...
Read more
Assets 3
Loading