Nangobiiriham/threat-hunting-labs
GitHub: Nangobiiriham/threat-hunting-labs
一个涵盖MITRE ATT&CK映射、SIEM调查模拟和AI驱动威胁狩猎的综合安全分析学习项目。
Stars: 0 | Forks: 0
# 威胁狩猎实验室 🔍
**威胁情报、MITRE ATT&CK 映射、SOC 模拟以及 AI 驱动的威胁狩猎演练。**
## 概述
本仓库包含威胁狩猎实验室、SOC 调查模拟和对手行为分析练习。项目涵盖了完整的威胁调查生命周期 —— 从日志分析和 IOC 识别到 MITRE ATT&CK 映射和事件响应。
## 项目
### 1. MITRE ATT&CK 攻击链映射
模拟了完整的对手攻击链,并将每个阶段映射到 MITRE ATT&CK 技术。
**攻击链:**
| Stage | Technique | MITRE ID |
|-------|-----------|----------|
| Initial Access | Phishing | T1566 |
| Execution | PowerShell | T1059.001 |
| Persistence | Registry Run Keys | T1547 |
| Defense Evasion | Obfuscated Scripts | T1027 |
**关键发现:**
- 识别了源自 HKCU\Run 注册表键的可疑 PowerShell 执行
- 在脚本块日志中检测到 Base64 编码的 payload
- 映射了从初始钓鱼诱饵到防御规避的完整杀伤链
### 2. SIEM 威胁调查 —— 凭据填充检测
模拟了 SOC 调查工作流,以检测和响应针对多个用户账户的凭据填充攻击。
**场景:**
一家公司检测到内部系统中异常的登录活动。目标:确定该活动是否表明是暴力破解或凭据泄露。
**调查查询 (SQL/Splunk 风格):**
```
SELECT user_id, source_ip, COUNT(*) AS attempts
FROM login_attempts
WHERE status = 'failed'
AND attempt_time > NOW() - INTERVAL '1 hour'
GROUP BY user_id, source_ip
HAVING COUNT(*) > 5
ORDER BY attempts DESC;
```
**结果:**
| user_id | source_ip | attempts |
|---------|-----------|----------|
| user_4821 | 192.168.4.22 | 47 |
| user_0033 | 10.0.0.187 | 23 |
| user_1197 | 172.16.3.91 | 11 |
**MITRE 映射:**
| Attack Stage | Technique |
|---|---|
| Credential Access | Brute Force (T1110) |
| Initial Access | Valid Accounts (T1078) |
| Persistence | Account Manipulation (T1098) |
**建议:**
- 实施多因素认证 (MFA)
- 部署登录速率限制
- 配置针对失败登录阈值的自动化 SIEM 告警
- 在边界防火墙拦截标记的 IP
### 3. AI 驱动的威胁狩猎 —— SentinelOne 挑战
使用 Purple AI 和 Singularity Data Lake 参加了 SentinelOne Threat Ops AI 驱动的威胁狩猎挑战。
**方法:**
- 使用自然语言查询从企业遥测数据中提取 IOC
- 关联端点、网络和身份数据中的行为信号
- 验证 SOC 事件并在模拟企业环境中识别高级对手技术
**使用的工具:**
- SentinelOne Singularity Data Lake
- Purple AI (自然语言威胁狩猎)
- MITRE ATT&CK 框架
## 工具与框架
```
MITRE ATT&CK Threat mapping and adversary behavior analysis
Splunk SIEM query language and log investigation
SentinelOne Endpoint detection and AI-driven threat hunting
Purple AI Natural language security queries
Python Log analysis automation
SQL Security event queries
```
## 展示的技能
- 安全事件分诊与调查
- IOC 识别与分析
- MITRE ATT&CK 框架映射
- SIEM 工作流设计
- 事件响应规划
- 威胁情报综合
## 作者
**Iriham Nangobi Mukoka**
网络安全分析师 | MBA 候选人 — UNC Greensboro
[](https://linkedin.com/in/nangobi-iriham-mukoka)
[](https://nangobiiriham.github.io)
标签:BurpSuite集成, Cloudflare, DNS 反向解析, EDR, IOC 标识, IPv6, MITRE ATT&CK, OpenCanary, PoC, PowerShell, SOC 模拟, SQL, 凭证填充, 初始访问, 多线程, 威胁情报, 安全运营中心, 开发者工具, 攻击分析, 暴力破解, 杀伤链, 私有化部署, 系统审计, 网络安全, 网络映射, 脆弱性评估, 逆向工具, 防御规避, 隐私保护