gbabbar26/threat-hunt-query-generator

# 这是什么？ 这是一个基于 Python 的 AI 工具，专为 SOC 分析师和威胁狩猎人员设计。安全专业人士面临着不断演变的威胁环境——新的漏洞、新的攻击技术以及每天不断出现的新警报。分析师无需从头手动编写复杂的 SIEM 查询语句，只需用简单的英语描述可疑行为，指定其 SIEM 平台，即可立即获得可直接使用的查询。目前支持 Splunk、Microsoft Sentinel 和 Elastic。 ## 我为什么要构建这个工具？ 作为一名从事防御方向的网络安全专业人士，我每天都要应对不断变化的威胁。仅凭记忆编写精确的 SIEM 查询——或者每次都要翻阅文档——非常耗时，而且会分散进行实际分析的注意力。我构建这个工具是为了让 AI 处理查询语法，这样分析师就可以专注于真正重要的事情：调查威胁。正如我喜欢说的那样——让 AI 完成困难的部分，以便分析师能够去完成更困难的部分。 ## 工作原理： 输入收集 — 分析师用简单的英语描述可疑行为，并指定其 SIEM 平台（Splunk、Microsoft Sentinel 或 Elastic） AI 查询生成 — 描述与威胁狩猎提示词一起传递给 Claude API，后者会生成一个特定于平台的、可直接使用的查询语句 错误处理 — 如果查询生成失败，该工具会优雅地记录错误，而不会崩溃 输出 — 生成的查询语句会立即显示在终端中，供即时使用 ## 如何运行： 1. 克隆代码仓库 git clone https://github.com/gbabbar26/threat-hunt-query-generator.git 2. 安装依赖 pip install anthropic 3. 设置你的 API key Windows: set ANTHROPIC_API_KEY=your-key-here Mac/Linux: export ANTHROPIC_API_KEY=your-key-here 4. 运行工具 python3 query_generator.py 5. 根据提示输入你的威胁描述和 SIEM 平台

标签：AI, Anthropic, CIS基准, Claude API, DLL 劫持, Microsoft Sentinel, NLP, Python, SecOps, SOC分析, SOC分析师, Threat Hunting, 云安全架构, 人工智能, 大语言模型, 安全运营, 安全运营中心, 开源, 扫描框架, 无后门, 查询生成器, 用户模式Hook绕过, 网络安全, 网络映射, 自动化代码审查, 逆向工具, 隐私保护