cozyad/cozyad-cti-lab

# 🧠 cozyad-cti-lab ### 生产级网络威胁情报平台 | Google Cloud | OpenCTI | Beast Intel | MITRE ATT&CK | AI 原生分析 一个个人威胁情报实验室，旨在将 20 年的实战情报经验与现代商业 CTI 工程相结合——从概念设计到在 Google Cloud Platform 上的生产部署。 ## 概述 本项目记录了一个运行在 Google Cloud Platform 上的生产级网络威胁情报平台的设计、部署及持续开发过程。该平台将威胁情报集中到结构化的 STIX 2.1 知识图谱中，关联了多个实时订阅源中的威胁行为者、恶意软件、TTPs、CVEs 和指标——通过 MITRE ATT&CK 映射进行富化，并通过 **Beast Intel**（一个定制的 MCP 服务器）进行展现，该服务器支持通过 Claude Code 实现 AI 原生的分析师工作流。 ## 架构 ### 技术栈 | 组件 | 技术 | |-----------|------------| | 云平台 | Google Cloud Platform (Compute Engine) | | 虚拟机操作系统 | Ubuntu 22.04 LTS — e2-highmem-4, 4 vCPUs, 32 GB 内存, 100 GB 标准持久磁盘 | | CTI 平台 | OpenCTI 6.x | | 容器化 | Docker Compose | | 搜索与存储 | Elasticsearch | | 消息队列 | RabbitMQ | | 缓存 | Redis | | 对象存储 | MinIO | | 远程访问 | IAP Tunnel (Identity-Aware Proxy) — 无公共 IP 暴露 | | AI 分析师接口 | Claude Code + Beast Intel MCP Server | | 基础设施即代码 | Terraform (GCP 配置) + Docker Compose | ### Beast Intel — MCP 服务器 本次构建的核心创新是 **Beast Intel**——一个定制的模型上下文协议 (MCP) 服务器，它封装了 OpenCTI 的 GraphQL API，并将结构化的威胁情报工具直接暴露给 Claude Code。这实现了 AI 原生的分析师工作流，在此工作流中，自然语言查询会被转换为对平台的实时调用。 Beast Intel 跨四个功能类别暴露了 14 个工具： **发现** - `list_all_intrusion_sets` — 枚举所有跟踪的威胁行为者 - `get_sector_actors` — 已知针对特定行业的攻击者 **攻击者画像** - `get_intrusion_set_profile` — 动机、复杂性、别名 - `get_intrusion_set_ttps` — MITRE ATT&CK 技术映射 - `get_intrusion_set_infrastructure` — 恶意软件和基础设施关联 - `get_related_actors` — 集群重叠和关系分析 - `get_campaigns` — 历史操作和目标 - `get_indicators` — 用于检测和搜寻的 IOCs - `get_malware_profile` — 能力、C2 方法、规避技术 **检测工程** - `generate_yara_rule` — 根据攻击者工具生成 YARA 规则 - `generate_yara_rules_for_actor` — 为攻击者的完整工具包批量生成 YARA - `generate_sigma_rule` — Sigma 检测规则生成 - `generate_sigma_rules_for_actor` — 为攻击者 TTPs 批量生成 Sigma **对手模拟** - `export_to_caldera` — 将威胁情报转换为 CALDERA 对手配置文件 ### 连接架构 ``` Claude Code (Windows) │ │ SSH via IAP Tunnel (127.0.0.1:2222) │ GCP Compute Engine — VM1 (cti-platform) │ ├── mcp_stdin_filter.py │ │ │ beast_intel_mcp.py ←── Beast Intel MCP Server │ │ │ OpenCTI GraphQL API (localhost:8080/graphql) │ │ ├── Docker Compose Stack │ ├── OpenCTI │ ├── Elasticsearch │ ├── RabbitMQ │ ├── Redis │ ├── MinIO │ └── Splunk (receiver :9997, UI :8000) │ │ internal VPC :9997 ▼ GCP Compute Engine — VM2 (cti-win-detonation) │ ├── Sysmon (SwiftOnSecurity config) ├── Splunk Universal Forwarder └── Invoke-AtomicRedTeam + atomics library └── Lumma TTP chain (atomic/lumma_ttp_chain.ps1) ``` 两台虚拟机均无公共 IP。所有访问均通过 GCP Identity-Aware Proxy 进行—— 经过身份验证、审计，零暴露攻击面。有关 Windows 引爆靶场，请参见 [`docs/vm2_detonation_lab.md`](docs/vm2_detonation_lab.md)。 ## 威胁情报源 ### 实时连接器 **MITRE ATT&CK** - 完整的 ATT&CK Enterprise 矩阵——战术、技术、子技术、软件、组织配置文件 - 作为所有其他源 TTP 映射的分析支柱 **Ransomware.live** - 带有攻击者归因的实时勒索软件受害者声明 - 尽可能提供 HudsonRock 信息窃取者确证数据 - 作为与 Intrusion Set 行为者关联的 STIX Report 对象进行摄取 **CISA 已知被利用漏洞 (KEV)** - CISA 权威的在野主动利用 CVE 目录 - 优先化的漏洞情报——如果 CISA 标记了它，说明威胁行为者正在利用它 **ThreatFox (Abuse.ch)** - 社区贡献的 IOC 源——IPs、domains、URLs、hashes - 恶意软件家族标记和 C2 基础设施追踪 **URLhaus (Abuse.ch)** - 恶意软件分发 URL 和托管基础设施 - 快速更新的活跃恶意软件分发活动源 **MalwareBazaar (Abuse.ch)** - 大容量恶意软件样本元数据 - 文件哈希、标签、恶意软件家族分类 **VirusTotal (富化)** - 指标富化连接器——IPs、domains、URLs、文件 hashes - 置信度评分和多供应商检测上下文 ### 数据流 ``` External Feeds → Connectors → RabbitMQ → OpenCTI Workers → Elasticsearch │ Knowledge Graph (STIX 2.1 objects) │ ATT&CK Enrichment & Correlation │ Beast Intel MCP Layer │ Claude Code AI Analysis ``` ## AI 原生分析师工作流 Beast Intel 与 Claude Code 的集成实现了分析师工作流，这通常需要手动在平台上进行导航。来自实际使用的示例： **TTP 链分析** 在针对实时平台的单一自然语言请求中，查询攻击者的完整技术集，映射到 MITRE ATT&CK IDs，并生成结构化的杀伤链叙事。 **受害者情报** 在需要时绕过 MCP 工具层——通过 IAP 隧道直接查询 OpenCTI GraphQL API，以跨完整对象图运行自由文本搜索，展现结构化工具未暴露的受害者组织情报。 **跨源确证** 结合 Beast Intel 攻击者数据与开源报告、Ransomware.live 条目和 HudsonRock 信息窃取者归因，以生成经过置信度评估的情报产品——区分单源攻击者声明与独立确证的事件。 **检测生成** 直接根据攻击者 TTP 配置文件和恶意软件特征生成 YARA 和 Sigma 规则，随时可部署到检测工程 pipeline 中。 **对手模拟** 将完整的攻击者 TTP 链导出为 CALDERA 对手配置文件——44 项针对 LAPSUS$ 的技术，已映射到 ATT&CK IDs 并结构化用于红队模拟。 ## 安全与基础设施 采用 GCP 安全最佳实践进行设计： - **Identity-Aware Proxy (IAP):** 所有虚拟机访问均通过经过身份验证的 IAP 隧道进行——无公共 IP，无对互联网暴露的 SSH - **服务账号:** 用于平台身份验证的最低权限 GCP 服务账号 - **代码中无存储凭证:** 所有密钥均通过 `.env` 文件管理，并已排除在版本控制之外 - **防火墙规则:** 默认拒绝，仅对所需的服务间通信明确允许 - **Google Cloud Monitoring:** 虚拟机和容器健康监控（计划集成 Security Command Center） ## 为什么构建这个项目 我在英国执法部门从事了 20 年的实战威胁情报交付工作。我了解威胁行为者、情报周期，以及如何制作推动国家和国际层面决策的评估报告。我想要发展的是工程方面——商业 CTI 团队实际上是如何构建和运营支撑现代威胁情报功能的平台的。 这个实验室就是那个问题的答案。在真实的云平台上，使用真实的数据，以生产标准从零开始构建——不是一个实验练习，而是一个我积极用于情报生产的工作系统。 Beast Intel MCP 集成代表了下一步进化：不仅仅是一个存储情报的平台，而是一个可以被 AI 分析师以对话方式查询的平台——缩短了原始数据和最终情报产品之间的距离。 ## 引爆靶场 (VM2) 第二台 GCP 虚拟机运行 Windows Server 2022，作为用于 对手模拟遥测数据生成的隔离引爆靶场。Red Canary 的 **Atomic Red Team** 驱动一个模拟 Lumma Stealer 行为的 TTP 链；Sysmon 和 PowerShell 日志通过内部 VPC 转发到 VM1 上的 Splunk 索引器。 **配置: Terraform (首选) 或 gcloud** Terraform 是默认路径——它符合 VM1 上现有的 IaC 规范， 保持状态可重现，并使拆除引爆靶场成为 单命令操作。bash 脚本作为零依赖备选方案保留，用于快速重建或未安装 Terraform 的环境。 ``` cd infra/terraform/vm2 cp terraform.tfvars.example terraform.tfvars # edit with your project + VM1 IP terraform init terraform plan terraform apply terraform destroy # tear down when not needed ``` 备选 (bash / gcloud CLI): ``` export PROJECT_ID=... VM1_INTERNAL_IP=... ./infra/gcp/create_windows_vm.sh ``` **文件** - `infra/terraform/vm2/` — Terraform 模块 (首选) - `infra/gcp/create_windows_vm.sh` — gcloud 脚本 (备选) - `infra/bootstrap/windows_startup.ps1` — 首次启动 Sysmon + UF + Atomic RT - `atomic/lumma_ttp_chain.ps1` — 13 项技术的 Lumma 行为链 - `splunk/forwarder/` — UF inputs/outputs (事实来源) - `splunk/indexer/indexes.conf` — VM1 的索引定义 - `docs/vm2_detonation_lab.md` — 配置 + 演示运行手册 ## 计划中 - [ ] Google Security Command Center — GCP 环境的安全态势监控和威胁检测 - [ ] Neo4j 图层 — 用于关系遍历的原生图查询 (受害者 → 攻击者，攻击者 → 基础设施) - [ ] 受害者搜索 MCP 工具 — 通过 Beast Intel 接口暴露自由文本受害者组织搜索 - [ ] 恶意软件沙箱连接器集成 - [ ] AI 辅助分诊工作流 — 自动化的分析师和高管级别情报摘要 - [ ] 蜜罐虚拟机 — 对手观察，将 IOCs 反馈回 OpenCTI ## 展示技能 `Threat Intelligence` `MITRE ATT&CK` `OpenCTI` `Google Cloud Platform` `Terraform` `Docker Compose` `Elasticsearch` `STIX 2.1` `MCP Server Development` `GraphQL` `Python` `AI-Native Workflows` `Claude Code` `Linux Administration` `IAP Tunnelling` `Intelligence Cycle` `TTP Analysis` `IOC Management` `Detection Engineering` `YARA` `Sigma` `Adversary Emulation` `CALDERA` `Source Assessment` `Analytic Tradecraft` ⚠️ *本仓库仅记录架构、方法论和工具。不包含或引用任何敏感数据、凭证、实战情报或受害者识别信息。* *正在积极开发中。最后更新：2026 年 4 月。*

标签：AI原生分析, Beast Intel, CISA项目, Claude, Cloudflare, CVE检测, DLL 劫持, Docker Compose, ECS, Elasticsearch, GCP, Google Cloud Platform, GPT, MCP Server, MITRE ATT&CK, OpenCTI, PB级数据处理, STIX 2.1, Terraform, 人工智能, 基础架构即代码, 大语言模型, 安全运维, 安全运营, 情报收集, 扫描框架, 搜索引擎查询, 漏洞研究, 漏洞管理, 版权保护, 用户模式Hook绕过, 网络威胁情报, 网络安全, 逆向工具, 隐私保护