BlueTriage — «швейцарский нож» для тех, кому лень настраивать полноценный SIEM

На GitHub появился BlueTriage — простой инструмент для быстрого разбора логов Windows, который берёт события безопасности в формате JSON, приводит их к единой схеме и прогоняет через набор простых правил, а на выходе отдаёт файл с алертами и HTML-отчёт для первичного анализа инцидента.

По сути, BlueTriage пытается закрыть типичную боль реагирования: когда логи уже выгружены, но их нужно быстро привести к понятному виду и вытащить «красные флажки» без тяжёлых SIEM-процессов и долгой настройки. В текущем MVP автор заложил цепочку «инджест → нормализация → детекты → экспорт», чтобы можно было прогнать набор событий одной командой и получить читаемый результат для ревью.

В стартовой комплектации есть несколько правил под популярные сценарии из Security-лога Windows: неудачные попытки входа (4625), создание пользователя (4720), добавление в привилегированные группы (4728/4732) и создание запланированной задачи (4698). Каждое правило помечено уровнем критичности и привязано к техникам MITRE ATT&CK (например, T1110 для перебора паролей и T1053.005 для планировщика задач), чтобы алерты проще было «приклеивать» к знакомым моделям атак.

Запуск сейчас заточен под Windows и виртуальное окружение Python: установка из репозитория, команда для сканирования JSON-файла с событиями и отдельная команда для генерации HTML-отчёта. Судя по описанию репозитория, проект написан на Python, а для шаблонов отчёта используется Jinja.

В планах у автора — поддержка EVTX (чтобы можно было кормить инструмент напрямую экспортом журналов Windows), переход на YAML-правила в духе «Sigma-lite», скоринг и сортировка по оценке (High → Low), а также Markdown-отчёты, удобные для тикетов.