ir0nbeagle/Agentic-Threat-Hunting
GitHub: ir0nbeagle/Agentic-Threat-Hunting
这是一个基于 AI 的智能威胁狩猎框架,能够自动将威胁情报转化为结构化 LOCK 文档及 CrowdStrike 和 Google SecOps 的可执行查询。
Stars: 0 | Forks: 0
# 智能威胁狩猎框架
用于 CrowdStrike Falcon 和 Google SecOps SIEM 的 AI 驱动威胁狩猎。
粘贴任意威胁情报文章 → 获取结构化 LOCK 模板 + 可直接运行的查询。
## 功能说明
1. **导入** — 在 Claude Code 聊天中粘贴 URL 或描述威胁
2. **分析** — Claude 提取威胁行为者、TTPs、IOCs 和 MITRE ATT&CK 映射
3. **生成** — 自动填写 LOCK 狩猎模板
4. **查询** — 为 CrowdStrike Falcon LogScale 和 Google SecOps SIEM 生成平台特定查询
## 快速开始
1. 在 VS Code 中打开此文件夹
2. 打开 Claude Code(`Ctrl + Shift + P` → “Open Claude Code” 或使用侧边栏图标)
3. 在聊天中粘贴威胁情报文章 URL 并说 **"hunt for this"**
4. Claude 会在 `hunts/H-XXXX-[threat-name]/` 中生成完整的狩猎包
## 项目结构
```
.claude/
commands/
crowdstrike.md /crowdstrike slash command — LQL syntax reference
secops.md /secops slash command — UDM/YARA-L syntax reference
hunts/ Generated hunt packages (H-0001, H-0002, ...)
H-XXXX-[threat-name]/
LOCK.md Structured hunt document (Learn/Observe/Check/Keep)
crowdstrike-queries.md CrowdStrike Falcon LogScale queries
google-secops-queries.md Google SecOps UDM queries + YARA-L detection rules
templates/
HUNT_LOCK.md Blank LOCK template
integrations/
crowdstrike/AGENTS.md CrowdStrike LQL syntax reference (loaded automatically)
google_secops/AGENTS.md Google SecOps UDM/YARA-L reference (loaded automatically)
AGENTS.md AI assistant configuration — Claude reads this automatically
environment.md Your security environment config — fill this in
```
## LOCK 方法论
每次狩猎都遵循来自 [ATHF 框架](https://github.com/Nebulock-Inc/agentic-threat-hunting-framework) 的 **LOCK** 模式:
| 阶段 | 目的 |
|-------|---------|
| **L — Learn(学习)** | 威胁上下文、行为者画像、TTPs、ABLE 范围界定 |
| **O — Observe(观察)** | 行为假设、正常与可疑基线对比 |
| **C — Check(检查)** | 数据源、查询执行、迭代 |
| **K — Keep(保留)** | 发现结果、经验教训、检测自动化 |
## 支持的平台
- **CrowdStrike Falcon** — LogScale Query Language (LQL / Humio)
- **Google SecOps SIEM** — UDM Search 查询 + YARA-L 2.0 检测规则
## 配置
在 `environment.md` 中填写您的安全工具和数据源。Claude 会自动读取此内容以定制适合您环境的查询。
## 致谢
基于 Sydney Marrone 的 [Agentic Threat Hunting Framework](https://github.com/Nebulock-Inc/agentic-threat-hunting-framework) 构建。
灵感来自 CrowdStrike 社区的 ClaudeStrike 概念。
由 [Claude Code](https://www.anthropic.com) (Anthropic) 提供支持。
标签:ATHF, Cloudflare, CrowdStrike Falcon, Google SecOps, IOCs, LOCK框架, LQL, MITRE ATT&CK, Subfinder, TGT, TTPs, YARA-L, 人工智能, 威胁分析, 威胁情报, 安全运营, 开发者工具, 扫描框架, 攻防演练, 查询生成, 检测规则, 用户模式Hook绕过, 结构化数据, 网络安全, 网络调试, 网络资产发现, 自动化, 自动化侦查工具, 辅助工具, 防御加固, 隐私保护