Panguard's detection engine combines three analysis engines — Sigma rule matching, YARA signature scanning, and ATR (Agent Threat Rules) — across five detection stages with graceful degradation from cloud to fully offline operation.
技術架構
安全不只掃描, 更會思考。
三層 AI 防禦漏斗、五個自主代理和學習你環境的情境記憶。90% 的雜訊事件零成本,3% 的關鍵事件獲得最深層推理。
防禦漏斗
三層。90% 免費。
事件從上往下流經越來越強大 -- 也越來越昂貴 -- 的分析層。漏斗確保成本效率,同時保證不遺漏任何真正威脅。
規則引擎
Sigma + YARA
開源 Sigma 和 YARA 規則構成基石。它們在裝置端即時處理絕大多數安全事件,每事件零成本。新的社群規則每天從精選來源拉取,自動編譯到本地引擎。
指紋比對 & 啟發式
本地行為分析
規則無法自信分類的事件升級到本地指紋比對和啟發式分析。零設定、完全離線,敏感資料留在裝置上,不依賴雲端的情況下增加情境推理。
雲端 LLM 裁判
Claude Sonnet 4(Threat Cloud 伺服器端)
只有最模糊或最新穎的威脅才會到達雲端 LLM 進行深度推理。有效負載在傳輸前已清除 PII。分析由 Threat Cloud 伺服器端執行 -- 所有用戶完全免費。返回帶有信心分數和人話解釋的結構化判決。
多層防禦堆疊
五層即時防禦。
每一層針對不同的攻擊面,使用經過實戰驗證的開源引擎。從核心系統呼叫到日誌關聯分析,每一層都將標準化事件輸入 AI 管線。
核心監控
Falco eBPF
透過 eBPF 探針直接掛鉤 Linux 核心系統呼叫。偵測容器逃逸、反向 shell、挖礦程序、憑證存取和異常檔案描述符 -- 無需核心模組,不影響系統效能。
Detects
容器逃逸、反向 shell、權限提升、可疑 exec() 呼叫鏈
Implementation
eBPF tracepoints 在 sys_enter/sys_exit、Falco 規則編譯為 BPF 字節碼、<1ms 每事件延遲
網路入侵偵測
Suricata DPI
對所有網路介面進行深度封包檢測。Suricata 的 EVE JSON 輸出提供協定解碼警報 -- 包括 TLS 指紋辨識、DNS 異常偵測和 HTTP 負載分析 -- 直接輸入事件管線。
Detects
C2 信標通訊、資料外洩、橫向移動、漏洞利用負載、協定異常
Implementation
多執行緒 pcap 分析、40+ 協定解碼器、ET Open + 自訂規則集、流量追蹤
檔案系統掃描
YARA 引擎
即時存取和排程掃描檔案系統變更。YARA 規則比對位元組模式、PE 標頭和字串特徵,對抗已知惡意程式家族、Web Shell 和可疑腳本。
Detects
惡意程式二進位檔、Web Shell、勒索軟體投放器、混淆腳本、憑證竊取器
Implementation
模式特徵比對、自訂 + 社群 YARA 規則集、inotify 觸發掃描
日誌關聯分析
Sigma 規則
Sigma 偵測規則跨系統日誌、認證日誌、應用日誌和雲端稽核軌跡進行關聯。規則引擎支援時間關聯、聚合和多來源關聯查詢。
Detects
暴力攻擊、橫向移動鏈、持續性機制、政策違規
Implementation
2,500+ 社群 Sigma 規則、熱重載、MITRE ATT&CK TTP 對應、自訂規則撰寫
AI 關聯分析
LLM 推理
通過 1-4 層的事件由 AI 進行交叉關聯。模型權衡行為基線、威脅情報和時間模式,產出帶有信心分數的判決和完整攻擊敘事。
Detects
零日攻擊、APT 活動、新穎攻擊鏈、誤報降低
Implementation
本地 Ollama + 雲端 LLM 備援、基線記憶 RAG、威脅情報豐富化、0-100 評分
事件管線
從原始信號到可執行警報。
每個安全事件經過五階段管線。資料被標準化、豐富化、關聯、評分和派發 -- 通常在 200ms 內完成。
擷取
來自 Falco、Suricata、YARA、檔案監控器和程序監控器的原始事件即時捕獲。
標準化
事件對應到統一架構,包含來源、嚴重性、類別和 MITRE ATT&CK 標籤。
關聯
Sigma 規則和 AI 將事件與基線行為和威脅情報進行交叉比對。
評分
每個關聯事件獲得 0-100 信心分數,決定自動回應閾值。
警報
判決觸發劇本執行並派發至 Slack、Telegram、Email 和儀表板。
擷取
來自 Falco、Suricata、YARA、檔案監控器和程序監控器的原始事件即時捕獲。
標準化
事件對應到統一架構,包含來源、嚴重性、類別和 MITRE ATT&CK 標籤。
關聯
Sigma 規則和 AI 將事件與基線行為和威脅情報進行交叉比對。
評分
每個關聯事件獲得 0-100 信心分數,決定自動回應閾值。
警報
判決觸發劇本執行並派發至 Slack、Telegram、Email 和儀表板。
代理架構
四個代理。一個使命。
每個代理都是專家。它們共同組成自主安全運營管線:偵測、分析、回應、報告 -- 即時掌握所有狀況。
偵測代理
第一線反應者
持續監控系統日誌、網路流量和檔案系統變化。即時應用 Sigma 和 YARA 規則,在異常出現的瞬間標記。產出附帶 MITRE ATT&CK TTP 標籤的原始事件信號。
分析代理
AI 調查員
接收偵測代理標記的事件並進行多步推理。跨時間關聯事件、查詢情境記憶中的基線偏差,並給出 0 到 100 的信心分數。
回應代理
自動化防禦者
根據信心閾值執行回應劇本。高信心威脅觸發自動隔離、防火牆規則注入或程序終止。中等信心事件排入帶完整情境的人工審查任務。
報告代理
合規撰寫者
將原始事件資料轉換為對應 ISO 27001、SOC 2 等框架的結構化報告。自動生成高管摘要、時間線視覺化和稽核就緒證據包。
情境記憶
七天學習你。然後永不遺忘。
安裝後前七天,Panguard 靜默觀察你的系統:正常網路模式、典型程序樹、預期 cron 排程和標準用戶行為。這在加密的本地資料庫中建立每裝置基線。
學習窗口之後,任何偏離基線的情況都會被評分和標記。模型持續自我優化 -- 新的合法服務在數小時內被納入基線,而新穎攻擊模式立即觸發升級。
觀察
收集程序樹、網路連接、檔案系統基線
模式提取
為每個服務建立正常行為的統計模型
閾值調校
校準警報閾值以最小化誤報
主動防護
完整偵測 + 自動回應,持續優化
信心評分
每個事件都有分數。
0-100 的信心分數決定後續行動。高分觸發自動回應。中分通知人工。低分輸入學習系統。
高信心威脅自動處理。回應代理在數秒內執行匹配劇本,然後記錄每個動作供稽核。
中等信心事件透過聊天代理向指定人工審查員發送通知。附帶完整情境和 AI 推理,審查員可一鍵批准或駁回。
低信心信號帶完整元資料記錄,並輸入情境記憶系統。隨時間推移,基線模型自我優化,這些信號要麼升級到更高等級,要麼被抑制為雜訊。
匿名分享
威脅指標在貢獻前移除所有識別資料。
分散式快取
新威脅簽名在幾分鐘內傳播到整個艦隊。
自動規則推送
社群驗證的簽名被編譯成 Sigma/YARA 規則並推送到每個代理。
隱私優先
沒有 IP 位址、主機名稱或用戶資料離開裝置。只有雜湊和行為模式。
集體情報
一台裝置偵測。所有裝置封鎖。
當 Panguard 代理識別出之前未知的威脅,匿名入侵指標(IOC)會貢獻到集體情報網路。幾分鐘內,其他所有 Panguard 代理都收到新簽名。
這創造了正向迴圈:網路中的裝置越多,新威脅被捕獲得越快,每個個體代理就越強大。一台伺服器的小企業受益於整個 Panguard 艦隊產生的威脅資料。
韌性
安全永不中斷。
網路斷線?API 額度用盡?雲端供應商故障?Panguard 透過三層優雅降級。防護永遠開啟。
最佳
雲端 AI + 本地 LLM + 規則引擎 -- 每個事件完整三層分析。
雲端不可用
本地 LLM + 規則引擎。複雜事件排隊等待雲端重試。防護無間斷。
LLM 離線
僅規則引擎。Sigma + YARA 仍捕獲 90% 的已知威脅。事件記錄供稍後 AI 分析。
緊急模式
核心看門狗程序監控關鍵信號。如果 Panguard 本身被攻擊,看門狗通知擁有者並保留鑑識日誌。
技術棧
建立在經過驗證的基礎上。
每個元件都因可靠性、效能和開發者體驗而被選擇。無專有鎖定。
TypeScript
端到端型別安全
Sigma Rules
產業標準偵測
YARA Rules
惡意程式模式匹配
Ollama
本地 LLM 推論
Claude / GPT
雲端 AI 推理
Node.js
代理運行環境
SQLite + Redis
事件儲存與快取
Docker
一行指令部署
REST / WebSocket
即時遙測
Prometheus
指標與警報
MCP 協議
用於 AI 助手整合的模型上下文協議
Semgrep
SAST 程式碼靜態分析
SOAR 引擎
以 YAML 劇本實現安全協調
Welford 演算法
線上統計異常偵測