Sh1nn0k/atomic-maestro
GitHub: Sh1nn0k/atomic-maestro
一款将 MITRE ATT&CK Navigator 层配置转换为 Red Canary Atomic Runner 可执行 CSV 计划的 CLI 桥接工具。
Stars: 1 | Forks: 0
# Atomic Maestro
## 概述
**Atomic Maestro** 是一款精简的 CLI 工具,旨在弥合网络威胁情报 (CTI) 与 Red Canary 的 Atomic Red Team Atomic Runner 功能之间的自动化鸿沟。
它接收 MITRE ATT&CK® Navigator JSON 层,并将其动态编排为 [Atomic Red Team's](https://github.com/redcanaryco/atomic-red-team) Atomic Runner 可立即执行的 CSV 计划。非常适合 SOC 团队、检测工程师和红队成员针对特定威胁行为者或特定活动验证 SIEM 平台的防御能力。
## 功能特性
* **战术排序:** 根据逻辑攻击杀伤链(从 *Reconnaissance* 到 *Impact*)自动对 MITRE 技术进行排序。
* **平台过滤:** 针对特定环境(例如 Windows、Azure AD、Linux)进行筛选,确保您的计划仅运行相关的原子测试。
* **自定义超时:** 直接通过 CLI 动态控制测试的最大执行时间。
* **无缝集成:** 直接解析从 MITRE ATT&CK Navigator 导出的 JSON 文件。
* **即刻运行:** 生成 Atomic Runner 所需格式正确的 `.csv` 文件。
## 快速开始
### 前置条件
* Python 3.x(无需外部库)
* 已安装 Atomic Red Team 执行框架和 Atomics 文件夹
* 一个有效的 Atomic Red Team 源计划 CSV。
### 基本用法
生成完整的模拟计划(例如针对 APT29):
`python atomic_maestro.py --mitre-filepath 'C:\Users\johndoe\apt29_layer.json'`
### 高级用法(平台过滤与超时)
专门为 Windows 和 Azure AD 生成模拟计划,并设置 120 秒超时:
`python atomic_maestro.py --mitre-filepath 'C:\Users\johndoe\apt29_layer.json' --source-filepath C:\Users\johndoe\AtomicRunner\AtomicRunnerSchedule.csv --destination-filepath APT29_emulation_plan.csv --supported-platforms windows azure-ad --timeout-seconds 120`
### 参数
| 参数 | 必需 | 描述 | 默认值 |
| :--- | :---: | :--- | :--- |
| --mitre-filepath | ✅ | MITRE ATT&CK® Navigator JSON 文件的路径。 | None |
| --source-filepath | ❌ | 基础 Atomic Red Team 计划 CSV 的路径。 | ~/AtomicRunner/AtomicRunnerSchedule.csv |
| --destination-filepath| ❌ | 生成的模拟计划保存的路径。 | ~/AtomicRunner/atomic_schedule.csv |
| --timeout-seconds | ❌ | 每个原子测试的最大执行时间(以秒为单位)。 | 60 |
| --supported-platforms | ❌ | 按平台筛选技术(以空格分隔)。示例:windows azure-ad office365 | None (所有平台) |
## 示例工作流:针对性 APT29 模拟
1. 如果之前尚未执行,请使用 `Invoke-GenerateNewSchedule` 生成基础 CSV 计划,或使用 `Invoke-RefreshExistingSchedule` 刷新它。
2. 访问 MITRE ATT&CK Navigator (https://mitre-attack.github.io/attack-navigator/)
3. 创建或打开一个现有层,其中包含与 APT29 相关的所需技术,并将其评分设置为 1。
4. 将该层导出为 JSON 文件 (apt29_layer.json)。
5. 运行 Maestro 构建仅限 Windows 的攻击路径:
`python atomic_maestro.py --mitre-filepath C:\Users\johndoe\Desktop\apt29_layer.json --source-filepath C:\Users\johndoe\AtomicRunner\AtomicRunnerSchedule.csv --destination-filepath APT29_emulation_plan.csv --supported-platforms windows --timeout-seconds 60`
6. 将生成的 atomic_schedule.csv 提供给您的 Atomic Runner,并验证您的 SIEM 检测!
标签:APT模拟, Atomic Runner, Azure AD, Conpot, CSV生成, Cyber Threat Intelligence, FTP漏洞扫描, JSON解析, MITRE, Python, RAG安全, Red Canary, SIEM验证, Windows安全, 原子红队, 威胁情报, 安全编排, 开发者工具, 攻击模拟, 数据展示, 文档结构分析, 无后门, 渗透测试框架, 红队, 网络安全, 逆向工具, 防御, 隐私保护, 驱动签名利用