santinoholmes1979/ai-edr-threat-hunting

# AI 辅助的 EDR 威胁狩猎实验环境（合成遥测数据） 一个适合作品集展示的网络安全项目，用于模拟 **EDR/端点遥测**，运行 **检测工程规则**，并提供一个 **Streamlit 调查控制台**，其中包含 **AI 风格的 SOC 分类说明**（本地）以及 **MITRE ATT&CK 映射**。 ## 本项目功能 ### 1) 生成合成 EDR 遥测数据 创建逼真的端点风格日志： - 进程创建（父/子关系，命令行） - 网络连接（域名/IP/端口） - 认证事件（成功/失败，远程登录） - 注册表修改（持久化模式） - 文件创建活动 输出：`data/raw/events.jsonl` ### 2) 运行检测工程规则 根据遥测数据创建警报： - **编码的 PowerShell 执行** (`-enc`) - **密码喷射风格的失败登录** - **通过 Run 键修改实现持久化** 输出：`data/alerts.json` ### 3) Streamlit “EDR 控制台” 一个微型调查 UI，包含： - **警报表** - **狩猎探索器** 透视（设备名称/用户/事件类型/场景） - **AI 分类** 标签页：SOC 就绪的事件说明 + MITRE 映射 + 后续步骤 ## 快速开始 ``` python -m venv venv .\\venv\\Scripts\\activate pip install -r requirements.txt python .\\generator\\generate\_logs.py python .\\detections\\rules.py streamlit run .\\streamlit\_app\\app.py ```

标签：ATT&CK 模型, Cloudflare, DLL 劫持, DNS 反向解析, DNS解析, EDR, Kubernetes, MITRE ATT&CK, PE 加载器, Portfolio, PowerShell 攻击, Python, Streamlit, 人工智能, 合成遥测数据, 大语言模型, 安全仪表盘, 安全实验室, 安全教育, 安全运营中心, 密码喷洒, 库, 应急响应, 开源项目, 攻击模拟, 数字取证, 数据包嗅探, 无后门, 日志模拟, 时序数据库, 注册表安全, 用户模式Hook绕过, 端点检测与响应, 结构化查询, 网络安全, 网络安全实验, 网络映射, 脆弱性评估, 脱壳工具, 自动化安全, 自动化脚本, 访问控制, 逆向工具, 隐私保护, 驱动签名利用