daveherrald/echolake-datasets

# EchoLake 数据集 用于检测工程、威胁狩猎和安全安全研究的精选数据集。 ## 数据集 | 路径 | 数量 | 描述 | |------|-------|-------------| | [datasets/art/](datasets/art/) | 1,654 | Atomic Red Team 遥测数据 — 来自 250 个 MITRE ATT&CK 技术的 Windows 安全事件 | | [datasets/paws-operation-yarn-ball/](datasets/paws-operation-yarn-ball/) | 1 | 在 Active Directory 上使用 Sliver C2 进行的多阶段攻击模拟（约 82 万条事件） | ## Atomic Red Team 遥测数据 1,654 个 Windows 安全遥测数据集，通过在加入 Active Directory 域的检测化 Windows 11 Enterprise 工作站上执行 [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) 测试生成。每个数据集捕获来自单个 ART 测试的遥测数据 —— 进程创建、注册表修改、网络连接、脚本执行，以及由 Sysmon、Windows Security 审计日志和 PowerShell 日志记录的其他系统活动。 有关检测化环境、环境和结构的完整详细信息，请参阅 [datasets/art/README.md](datasets/art/README.md)。 ## PAWS Operation Yarn Ball 在包含 7 个虚拟机 (VM) 的 Windows Active Directory 环境中进行的完整多阶段攻击模拟。包含代理角色模拟（6 名员工生成真实的背景活动）以及一个 10 阶段的 Sliver C2 攻击链，涵盖侦察、Beacon 部署、凭证窃取、横向移动、数据渗出、勒索软件和日志清除。跨 Windows（Sysmon、Security、PowerShell）、Squid 代理和 Zeek 网络日志共约 82 万条事件。 ## 许可证 本仓库中的所有原创内容均在 [CC0 1.0 Universal (Public Domain Dedication)](LICENSE) 下发布。

标签：Active Directory, AI合规, AMSI绕过, Atomic Red Team, Cloudflare, EDR, lateral movement, MITRE ATT&CK, PE 加载器, Plaso, RFI远程文件包含, Sliver C2, Sysmon, Terraform 安全, Web报告查看器, Windows 安全, 勒索软件, 威胁检测, 子域名变形, 安全数据集, 攻击模拟, 数据展示, 数据泄露检测, 数据渗出, 红队, 网络遥测, 脆弱性评估, 驱动签名利用