工具介绍

EFF-Monitoring（Efficient Monitoring，高效监控），是一款面向安全运营 / 蓝队的安全监测研判提效工具，聚焦“高效日志处理 + 自动化情报补全 + AI 研判”，帮助安全监测人员在攻防演练和日常值班中快速看懂告警、打通上下游，特别适用于本地无AI大模型、SOAR的场景。

核心价值

• 把“堆满终端的原始日志”变成“结构化视图”
  一次性解析出安全监测人员进行事件记录的所有字段（包括手动添加和日志识别），并自动生成可复制到聊天工具/Excel 的两种格式。

• 把威胁分析的动作收敛到一屏
  集成微步 ThreatBook，对源/目的 IP 统一查询，自动聚合情报并以“总体概览 + 详细分区”的方式呈现。

• 把“分析研判”交给 AI，自己专注于决策
  基于 CO-STAR 提示词，将解析结果 + 请求/响应 + TI 结果拼成上下文，一键生成结构化研判结论；支持单条告警和多条告警（按历史记录批量研判）两种模式。

• 把“重复劳动”沉到规则和配置里
  通过 GUI 配置规则、字段顺序、静态字段、消息模板等，把经验固化为规则；后续只需粘日志、点按钮，大量日常工作变成“确认而不是重做”。

• 赋能初级研判人员，小白秒入门
  威胁情报分析、AI辅助分析、白名单黑名单匹配从技术层面解决了初级监测人员看不懂告警、弄不清威胁、易封错ip的问题。

• 把“信息碎片”汇成可复盘的历史
  对每次解析结果及 TI / AI 输出做持久化，支持导出 CSV、批量 AI 复盘，为演练复盘/报告撰写提供原始素材。

功能特性

1. 日志处理 📋

• 支持通过「规则管理」页面自定义正则规则，解析安全设备告警日志。
• 内置基础 KV 解析（分号、制表符、换行等），兼容非结构化文本。
• 解析结果同时以「消息格式」和「Excel 格式」展示，方便复制到聊天工具或表格。

2. 威胁情报 🔍

• 集成微步 ThreatBook：
  • API 请求模式：使用官方 ip_reputation 接口。
  • HTTP 请求模式：使用浏览器 Cookie 访问 https://x.threatbook.com/v5/ip/<ip> 页面（适合 API 配额紧张场景）。
• 根据配置对源 IP / 目的 IP 分别查询，结果统一渲染。

3. AI 研判 🤖

• 使用 SiliconFlow 的 Chat Completions 接口。
• 采用 CO-STAR 风格提示词，将：
  • 日志解析结果，
  • 请求/响应/载荷，
  • 威胁情报结果
    组合成上下文，自动生成结构化研判结论。
• 支持配置：
  • 分析目标（Objective）
  • 受众（客户 / 专家 / 初学者）
  • 输出模式（结构化 / 简要 / 报告）

4. IP 列表管理 📝

• 图形界面管理白名单 / 黑名单：
  • 支持单 IP、CIDR、范围、简写范围（例如 192.168.1.1-100）。
• 日志处理时自动检查源 / 目的 IP 是否在白 / 黑名单，并弹出提醒。

5. 消息推送 📤

• 将格式化后的告警结果发送到：
  • 钉钉
  • 企业微信
  • 飞书
• 支持同时向多个渠道发送，界面中可以查看发送结果提示。

6. 规则与配置管理 ⚙️

• 规则管理（RulePage）：
  • 以表格形式管理字段规则（字段 / 匹配方式 / 正则或固定值）。

• 配置管理（ConfigPage）：
  • GUI 配置 ThreatBook、AI、Webhook、字段顺序、历史记录等。
  • 支持重新加载配置、保存配置，并在各页面自动生效。

工具下载

https://github.com/Fausto-404/EFF-Monitoring