v0.1.1 disponible · Windows · macOS · Linux · Signé

GlassMarlin, l'outil local du défenseur.

Un fichier. PCAP en entrée. Atelier de triage OT/ICS complet en sortie. Pas de Wireshark requis. Pas d'installation Python. Pas de Docker. Pas d'internet. Pas de serveur d'équipe. La chose que vous mettez sur le portable d'engagement, pour les engagements où l'hôte n'a rien.

Ce qu'il y a dedans eris-ot/glassmarlin grassmarlin.com (web)

Filiation

Le successeur que les défenseurs de terrain portaient en silence depuis des années.

GrassMarlin était le cartographe de topologie OT publié par la NSA, que les défenseurs de terrain portaient en silence sur les portables d'engagement depuis des années. Il fonctionnait, jusqu'à ce qu'il ne fonctionne plus. Abandonné en 2017, lié à Java, mono-plateforme, plus maintenu. CVE-2026-6807 (avril 2026) l'a rendu activement dangereux à continuer d'utiliser.

GlassMarlin reprend là où il s'est arrêté. Même utilité pour le défenseur, modernisée, multiplateforme, avec la pile complète risque + MITRE ATT&CK + IOC + baselines + extraction sub-PCAP en plus de la cartographie de topologie. Même esprit « déposez-le sur un portable ». Zéro dépendance externe. Héritage complet sur la page lignée GrassMarlin →

Frère, pas remplacement

Deux formes de déploiement pour le même moteur MarlinSpike.

grassmarlin.com fait tourner l'atelier web multi-utilisateur que vous déposeriez sur un hôte d'engagement. GlassMarlin fait tourner le même moteur de triage comme un binaire bureau natif pour les cas où un serveur est le mauvais outil, boxes air-gapped, travail en vol, SCIF de vendeurs, bunkers, portables sans rien d'autre dessus.

Aspect	grassmarlin.com (web)	GlassMarlin (bureau)
Déploiement	Docker Compose, proxy inverse, volumes persistants	Un installeur signé par OS, runtime embarqué
Modèle utilisateur	Multi-utilisateur avec authentification, projets par utilisateur	Mono-utilisateur, local uniquement
OS cible	Conteneur Linux (tout hôte avec Docker)	Windows .msi, macOS .dmg, Linux .AppImage
Outillage externe	tshark dans le conteneur, libpcap sur l'hôte	Aucun, dissection Rust, pas de Wireshark
Base de données	Service PostgreSQL	SQLite embarqué, fichier unique
Internet	Optionnel (export ATT&CK Navigator)	Jamais. Point.
Moteur	Même moteur et plugins MarlinSpike	Même moteur et plugins MarlinSpike
Artefact de rapport	JSON portable, examinable partout	JSON portable + OCSF + STIX + Sigma + ATT&CK Navigator
Meilleur cas d'usage	Équipes d'engagement, hôtes de terrain partagés, serveurs de labo	Intervenant sur portable, hôtes air-gapped, SCIF, vols

Aucune dépendance externe. Point.

Tout à l'intérieur du binaire.

La promesse de l'installeur GlassMarlin est précise : déposez le fichier sur le portable, ouvrez un PCAP, obtenez l'atelier. Pas de boîtes de dialogue surprises vous demandant d'installer Wireshark, pas de Python manquant sur l'hôte cible, pas d'aller-retour internet pour récupérer les données ATT&CK. Chaque dépendance vit à l'intérieur du binaire.

Bundle natif par OS

GlassMarlin.msi pour Windows. GlassMarlin.dmg pour macOS (signé, Gatekeeper-clean). GlassMarlin.AppImage pour Linux (tout hôte glibc 2.28+). Pas d'« installeur pour l'installeur ».

Dissection PCAP pure-Rust

Pas de libpcap, pas de Npcap, pas d'installation Wireshark, pas de tshark, pas d'editcap. marlinspike-dpi gère l'analyse et l'extraction de fenêtres temporelles nativement en Rust.

Runtime Python intégré

Embarqué via python-build-standalone. Pas de pip install, pas de venv, pas de Python système. L'interpréteur et chaque dépendance vivent dans le binaire.

SQLite embarqué, pas de serveur DB

Tout ce que grassmarlin.com stocke dans Postgres, GlassMarlin le garde dans un fichier SQLite embarqué dans le répertoire de données utilisateur. Rien à installer, rien à gérer.

Aucun internet requis, jamais

Pas de télémétrie, pas de vérification de licence, pas de mise à jour MITRE au runtime. Le runtime ATT&CK et les packs de plugins sont cuits dans le binaire. Tourne en SCIF, en bunker, en avion.

Exports prêts pour SIEM

Chaque scan émet report.json + OCSF NDJSON + STIX 2.1 + règles Sigma + couche ATT&CK Navigator JSON, en plus de la vue d'atelier. Pipez directement dans Splunk, Sentinel, AWS Security Lake.

Formes d'installation par OS

Windows

GlassMarlin.msi

MSI unique. Pas de prérequis d'installation Wireshark / Npcap. Pas de Python système.

macOS

GlassMarlin.dmg

Signé et notarisé. Gatekeeper-clean au premier lancement.

Linux

GlassMarlin.AppImage

Tourne sur tout hôte glibc 2.28+. chmod +x, exécuter.

Ce qu'il fait

La pile de triage complète, sur un binaire.

GlassMarlin n'est pas que de la topologie. C'est la pile de triage MarlinSpike entière, constats avec mapping IEC 62443, alignement MITRE ATT&CK, chasse aux IOC, baselines par actif, extraction sub-PCAP par fenêtre temporelle, qui tourne localement, sur le binaire que vous venez d'ouvrir.

Topologie + empreinte d'actifs

Inférence du niveau Purdue, empreintes fournisseurs, détection de rôle d'actif. 30+ dissecteurs de protocoles OT.

Constats de risque, mappés IEC 62443

Communications inter-Purdue, ingénierie en clair, balises C2, communications externes suspectes, scans de ports, authentification manquante, OPC SecurityMode=None, écritures Modbus de sources inattendues, chacun avec mapping IEC 62443 SR et guidance de remédiation.

MITRE ATT&CK (ICS + Enterprise)

Chaque constat mappé à des techniques. Vue d'atelier en matrice de tactiques. Export en un clic vers JSON de couche ATT&CK Navigator.

Chasse aux IOC

Collez un avis CISA, ingérez un bundle STIX, ou curaté à la main une liste. Scannez les nœuds, requêtes DNS, flux et payloads d'une capture contre IPs / domaines / SHA-256 / MD5 / MACs / OUIs.

Baselines par actif + dérive

Parcourt chaque capture que vous avez chargée et montre ce qui a changé pour un hôte donné, nouveaux pairs, nouveaux protocoles, nouveaux constats depuis la dernière fois, dérive de fournisseur / rôle / type d'équipement.

Extraction sub-PCAP par fenêtre temporelle

Faites glisser une plage sur la timeline de capture, extrayez ces paquets seuls comme sub-PCAP pour Wireshark. Le glissement est local, pas d'upload, pas de serveur. Pure Rust, pas d'editcap.

30+ dissecteurs de protocoles OT

ModbusS7DNP3IEC 60870-5-104EtherNet/IPOPC UABACnetPROFINETOMRON FINSHART-IPEtherCATSparkplug BIEC 61850 MMSGOOSESVCIPMMSet plus

Téléchargement · v0.1.1

Installeurs signés pour Windows, macOS et Linux.

Choisissez l'OS. Lancez l'installeur (ou décompressez le paquet). L'atelier s'ouvre dans votre navigateur. Chaque artefact est signé et listé dans SHA256SUMS avec signatures GPG et OpenTimestamps fournies à côté de la version.

Windows

x86_64 · signé

MSI pour les déploiements gérés, NSIS .exe pour les installations à la main. Pas de prérequis Wireshark, Npcap ou Python.

Télécharger .msi Ou .exe (NSIS)

macOS

Apple Silicon · signé

DMG aarch64. Signé et notarisé, s'ouvre proprement sous Gatekeeper. Glissez vers Applications, lancez.

Télécharger .dmg macOS Intel à venir

Linux

x86_64 · signé

AppImage autonome pour tout hôte glibc 2.28+, ou paquet Debian pour les systèmes gérés par apt.

Télécharger .AppImage Ou .deb

Vérifier le téléchargement

Chaque artefact est signé et le fichier SHA256SUMS est livré avec une signature GPG, un certificat X.509 et une preuve OpenTimestamps. Utilisez n'importe lequel pour confirmer l'authenticité avant de lancer l'installeur.

SHA256SUMS .asc (GPG) .ots (horodatage)

Autres canaux

Pour qui c'est fait

Engagements où l'hôte n'a rien.

L'outil local du défenseur. La chose que vous mettez sur le portable d'engagement. La chose que vous lancez sur un hôte air-gapped, en vol vers le site, dans le SCIF d'un vendeur, dans un bunker. Pas d'infrastructure. Pas d'internet. Pas de prep.

Le portable d'engagement

L'outil que vous portez. Mettez GlassMarlin sur le portable de l'évaluateur, volez sur site, travaillez les captures que l'opérateur OT vous tend. Aucune dépendance côté client à négocier avant que le travail commence.

Air-gapped, SCIF, bunkers

Hôtes sans internet, sans Docker, sans gestionnaire de paquets, et sans autorisation d'installer des runtimes tiers. GlassMarlin est un fichier : déposez-le sur une USB, ouvrez le PCAP, travaillez le projet. Packs ATT&CK / IEC 62443 / IOC cuits dedans, rien récupéré au runtime.

Formation, tabletop, salles de classe

Déposez GlassMarlin sur le partage AD ou la USB que vous avez distribuée à l'inscription. Vingt étudiants ont chacun leur propre MarlinSpike en 30 secondes. Pas de serveur à provisionner, pas de Docker à enseigner.

Limites

Ce que GlassMarlin n'est pas.

GlassMarlin est mono-utilisateur. Pas de backends d'authentification, pas de scoping multi-tenant, pas d'URL partagée. Si deux analystes ont besoin de regarder le même projet, ils ouvrent chacun le fichier localement, ou ils le tirent dans un déploiement grassmarlin.com pour la collaboration inter-engagement.

GlassMarlin ne fait pas de capture en direct. C'est PCAP en entrée, atelier en sortie. Si vous avez besoin d'un capteur en direct qui parle à l'atelier d'équipe, c'est le sidecar marlinspike-capd côté serveur, pas sur le portable.

GlassMarlin n'essaie pas d'être Wireshark. C'est la couche de triage OT par-dessus un PCAP (topologie, contexte d'actifs, alignement ATT&CK, constats) que Wireshark n'essaie délibérément pas d'être. Lisez avec Wireshark quand vous avez besoin des octets ; pilotez l'engagement avec GlassMarlin.