Sublime Security Strelka BackEnd 镜像文档

1. 镜像概述和主要用途

Sublime Security Strelka BackEnd（以下简称Strelka BackEnd）是Sublime Security推出的开源后端服务镜像，专为文件安全分析场景设计。作为Strelka安全分析平台的核心组件，其主要功能是接收、解析、扫描文件，并生成结构化分析结果，支撑威胁检测、***软件识别及安全审计等工作。该镜像提供标准化部署方式，简化后端服务搭建流程，适用于各类需要自动化文件安全检测的环境。

2. 核心功能和特性

2.1 文件处理与解析

• 支持多格式文件解析：覆盖文档（PDF、Office）、压缩包（ZIP、RAR）、可执行文件（PE、ELF）、邮件（EML、MSG）等常见格式。
• 深度内容提取：解析文件内嵌对象（如文档中的宏、压缩包内嵌套文件），支持递归提取多层级内容。

2.2 多引擎安全扫描

• 集成主流***软件检测引擎：支持ClamAV（病毒库扫描）、YARA（规则匹配）、Sigstore（签名验证）等，可扩展集成第三方引擎。
• 引擎联动分析：支持多引擎结果交叉验证，降低误报率。

2.3 元数据与行为分析

• 全面元数据收集：提取文件哈希（MD5/SHA1/SHA256）、文件大小、创建/修改时间、作者、软件版本等元数据。
• 行为特征提取：针对可执行文件，提取导入表、节信息、数字签名状态等静态行为特征。

2.4 可配置工作流与扩展性

• 自定义工作流规则：通过配置文件定义文件处理流程（如“先解压→再扫描→后提取元数据”）。
• 资源弹性扩展：支持单节点部署或集群模式，可通过增加节点提升并发处理能力。

2.5 集成与可观测性

• REST API接口：提供标准化API，支持文件提交、任务查询、结果获取等操作，便于与前端、SIEM系统或工单平台集成。
• 完善日志系统：输出JSON结构化日志，包含处理状态、扫描结果、错误信息等，支持对接ELK、Splunk等日志分析平台。

3. 使用场景和适用范围

3.1 典型使用场景

• 企业SOC（安全运营中心）：作为文件分析后端，对接邮件网关、终端防护系统，自动化检测***附件。
• 邮件安全网关：集成至邮件处理流程，实时扫描进出邮件附件，阻断***文件传播。
• 文件共享服务器：部署于文件服务器前端，对上传/下载文件进行前置扫描，防止***文件扩散。
• ***软件分析实验室：辅助分析师批量处理样本，快速提取IOC（指标），加速威胁研判。
• 威胁情报平台：作为文件解析引擎，为情报平台提供结构化文件特征数据。

3.2 适用范围

• 用户规模：中小企业至大型企业，支持单机轻量部署或集群规模化部署。
• 行业领域：、、能源、互联网等对文件安全敏感的行业。
• 技术环境：兼容Docker容器化环境，支持Linux服务器、Kubernetes集群部署。

4. 使用方法和配置说明

4.1 环境要求

• Docker Engine ≥ 20.10.0
• Docker Compose ≥ 2.0（如需集群部署）
• 最低资源：2 CPU核心、4GB内存、20GB磁盘空间（视文件处理量调整）

4.2 Docker部署

4.2.1 单节点部署（docker run）

bash
docker run -d \
  --name strelka-backend \
  -p 8080:8080 \  # API端口映射
  -v /path/to/local/config:/etc/strelka  # 挂载本地配置文件
  -v /path/to/scanner-data:/var/strelka  # 持久化扫描数据
  -e STRELKA_API_PORT=8080 \  # API服务端口
  -e STRELKA_LOG_LEVEL=info \  # 日志级别：debug/info/warn/error
  -e STRELKA_DB_HOST=db.example.com \  # 数据库主机
  -e STRELKA_DB_PORT=5432 \  # 数据库端口
  -e STRELKA_DB_USER=strelka \  # 数据库用户名
  -e STRELKA_DB_PASSWORD=your_secure_password \  # 数据库密码
  -e STRELKA_ENGINES=clamav,yara \  # 启用的扫描引擎
  sublime/strelka-backend:latest

4.2.2 集群部署（docker-compose）

创建docker-compose.yml：

yaml
version: '3.8'

services:
  strelka-backend-1:
    image: sublime/strelka-backend:latest
    container_name: strelka-backend-1
    ports:
      - "8081:8080"
    volumes:
      - ./config:/etc/strelka
      - ./data/node1:/var/strelka
    environment:
      - STRELKA_API_PORT=8080
      - STRELKA_LOG_LEVEL=info
      - STRELKA_DB_HOST=postgres
      - STRELKA_DB_PORT=5432
      - STRELKA_DB_USER=strelka
      - STRELKA_DB_PASSWORD=your_secure_password
      - STRELKA_ENGINES=clamav,yara
    depends_on:
      - postgres
      - redis
    restart: unless-stopped

  strelka-backend-2:  # 第二节点（集群扩展）
    image: sublime/strelka-backend:latest
    container_name: strelka-backend-2
    ports:
      - "8082:8080"
    volumes:
      - ./config:/etc/strelka
      - ./data/node2:/var/strelka
    environment:
      - STRELKA_API_PORT=8080
      - STRELKA_LOG_LEVEL=info
      - STRELKA_DB_HOST=postgres
      - STRELKA_DB_PORT=5432
      - STRELKA_DB_USER=strelka
      - STRELKA_DB_PASSWORD=your_secure_password
      - STRELKA_ENGINES=clamav,yara
    depends_on:
      - postgres
      - redis
    restart: unless-stopped

  postgres:  # 数据库服务（存储任务与结果）
    image: postgres:14-alpine
    container_name: strelka-postgres
    volumes:
      - postgres-data:/var/lib/postgresql/data
    environment:
      - POSTGRES_USER=strelka
      - POSTGRES_PASSWORD=your_secure_password
      - POSTGRES_DB=strelka
    restart: unless-stopped

  redis:  # 缓存服务（任务队列）
    image: redis:7-alpine
    container_name: strelka-redis
    volumes:
      - redis-data:/data
    restart: unless-stopped

volumes:
  postgres-data:
  redis-data:

4.3 配置说明

4.3.1 核心环境变量

4.3.2 配置文件挂载

通过本地目录挂载自定义配置（如引擎规则、工作流），容器内配置路径为/etc/strelka，典型配置文件结构：

/path/to/local/config/
├── engines/          # 引擎配置（如YARA规则、ClamAV配置）
│   ├── yara.rules    # YARA扫描规则文件
│   └── clamav.conf   # ClamAV引擎配置
├── workflows.yaml    # 文件处理工作流定义
└── limits.yaml       # 资源限制配置（CPU/内存）

4.4 基本操作

4.4.1 测试API可用性

bash
curl http://localhost:8080/health
# 预期返回：{"status":"ok","version":"x.x.x"}

4.4.2 提交文件扫描任务

bash
curl -X POST http://localhost:8080/scan \
  -H "Content-Type: multipart/form-data" \
  -F "file=@/path/to/test-file.pdf"
# 响应示例：{"task_id":"abc123","status":"pending"}

4.4.3 查询任务结果

bash
curl http://localhost:8080/tasks/abc123
# 响应示例：{"task_id":"abc123","status":"completed","results":{"detections":[],"metadata":{...}}}

4.5 扩展与集成

4.5.1 集成前端/第三方系统

通过REST API与Strelka Frontend、SIEM平台（如Elastic Stack、IBM QRadar）或工单系统（如Jira）集成，需配置API认证（建议启用API密钥，通过环境变量STRELKA_API_KEY设置）。

4.5.2 更新扫描引擎规则

• YARA规则：替换挂载的yara.rules文件后，重启容器或发送SIGHUP信号重载配置：

  bash
  docker kill -s SIGHUP strelka-backend
  

• ClamAV病毒库：挂载的/var/strelka/clamav目录会自动更新病毒库（需联网）。

5. 注意事项

• 数据持久化：务必挂载/var/strelka目录，避免容器重启后扫描数据丢失。
• 安全加固：生产环境需设置STRELKA_API_KEY启用API认证，限制数据库访问IP，避免配置文件权限泄露。
• 性能调优：根据文件处理量调整CPU/内存资源，高并发场景建议使用Kubernetes部署并启用自动扩缩容。