Hunt with FortiSIEM

AI-powered threat hunting, incident response, and detection engineering for FortiSIEM

**SOC 分析师 80% 的时间都花在编写 XML 查询、将 IP 复制粘贴到威胁情报工具中，以及跨标签页手动关联事件上。** 这款插件改变了这一切。 用简单的自然语言描述您要寻找的内容。AI 会编写 FortiSIEM 查询、运行它们、关联结果、丰富指标，并为您提供答案——而不仅仅是数据。 ### 前后对比 | 任务 | 无此插件 | 有此插件 | |------|-------------------|-----------------| | 在 30 天内搜寻 IOC | 编写 XML 查询、提交、轮询、解析 XML、检查 VirusTotal、检查 AbuseIPDB、检查 Shodan、撰写分析报告 — **45 分钟** | `/fsiem-hunt 185.220.101.5` — **3 分钟** | | 分流 20 个告警 | 逐个打开、检查源 IP、检查目的 IP、检查用户、检查规则误报率、更新状态 — **60 分钟** | `/fsiem-l1-triage` — **5 分钟** | | 构建检测规则 | 研究 MITRE 技术、编写 XML、测试、调优、部署 — **2 小时** | `/fsiem-rule-create detect DCSync from non-machine accounts` — **10 分钟** | | 调查安全事件 | 提取事件、构建时间线、丰富 IP、映射爆炸半径、撰写报告 — **3 小时** | `/fsiem-l2-investigate 12345` — **15 分钟** | | 假设驱动狩猎 | 设计查询、运行、分析、记录 — **4 小时** | `/fsiem-hypothesis-hunt "C2 beaconing via DNS tunneling"` — **20 分钟** | ## 包含内容 - **31 个斜杠命令** — 涵盖每一个 SOC 工作流，一个命令即刻触达 - **30 多项技能** — AI 用于推理 SIEM 数据的深度领域知识 - **3 个专业 Agent** — L1/L2 SOC 分析师、检测工程师、L3 威胁狩猎专家 - **5 个 IR (事件响应) Playbook** — 勒索软件、账户被盗、数据窃取、恶意软件、内部威胁 - **15 个规则模板** — 具备 MITRE ATT&CK 映射的生产就绪关联规则 - **6 个 APT 组织画像** — 针对 APT28、APT29、Lazarus、FIN7、Sandworm、APT41 的随时可运行的狩猎 - **多组织 / MSSP 支持** — 通过一条命令即可扫描所有租户 ## 2 分钟快速入门 ``` # 1. Clone git clone https://github.com/threat-hunt-ai/threat-hunt-ai.git # 2. 设置 credentials export FSIEM_HOST="https://your-fortisiem-host" export FSIEM_USER="admin" export FSIEM_PASS="yourpassword" export FSIEM_ORG="super" # 3. 安装 plugin /plugin marketplace add /path/to/fortisiem-ai/marketplace /plugin install fsiem-essentials@fsiem-marketplace # 4. Go /init-fsiem ``` 有关详细设置、Docker 安装和凭证持久化的信息，请参阅 [INSTALL.md](INSTALL.md)。 ## 真实应用场景 ### 场景 1：“这个 IP 恶意吗？” ``` > /fsiem-hunt 185.220.101.5 Searching FortiSIEM for 185.220.101.5... Found 47 events across 3 devices in the last 7 days Enrichment: VirusTotal 14/88 detections | AbuseIPDB 98% confidence | Tor exit node Timeline: Mar 28 02:14 → Inbound SSH to 10.0.1.5 (PERMITTED) Mar 28 02:14 → Failed login as root (4 attempts) Mar 28 02:15 → Successful login as svc_backup Mar 28 02:17 → Outbound DNS to 8.8.8.8 (unusual for this host) Verdict: HIGH RISK — Tor exit node achieved access via brute force on svc_backup. Recommended: Isolate 10.0.1.5, disable svc_backup, check for persistence. ``` ### 场景 2：“搜寻勒索软件指标” ``` > /fsiem-hypothesis-hunt "Ransomware precursors: shadow copy deletion, mass file rename, or encryption tool command lines" Hypothesis Hunt Report ━━━━━━━━━━━━━━━━━━━━━ Hypothesis: Ransomware precursors active in environment MITRE Techniques: T1486, T1490, T1059.001 Queries executed: 5 Events analyzed: 1,247 FINDING 1 — CONFIRMED Host: FILE-SRV-03 | User: admin_jsmith vssadmin.exe delete shadows /all /quiet Followed by: rename of 340 files in \\shares\finance\ within 8 minutes FINDING 2 — SUSPICIOUS Host: WS-142 | Process: powershell.exe -enc Decoded: Invoke-WebRequest to external IP, downloads payload to %TEMP% Verdict: Active ransomware engagement on FILE-SRV-03. WS-142 may be initial access. Playbook: /fsiem-playbook ransomware ``` ### 场景 3：“这个用户账号被盗用了吗？” ``` > /fsiem-ueba john.doe UEBA Analysis — john.doe (30-day baseline) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Risk Score: 87/100 (HIGH) ANOMALY 1: Off-hours VPN login Baseline: Logs in Mon-Fri 08:00-18:00 IST Today: Login at 03:14 IST from IP in Moldova (79.140.x.x) ANOMALY 2: First-time resource access Accessed \\dc01\SYSVOL (never accessed before in 30 days) Accessed CyberArk vault (never accessed before) ANOMALY 3: Volume spike Outbound data: 2.4 GB (baseline average: 120 MB/day) Verdict: Account likely compromised. Login from unusual geo + first-time privileged access + data volume spike = classic credential theft pattern. ``` ### 场景 4：“为我构建一个检测规则” ``` > /fsiem-rule-create alert when a single source IP fails login more than 10 times in 5 minutes on any Windows host Designing correlation rule... Rule: Brute Force Login — Windows (10 failures / 5 min) MITRE: T1110.001 — Password Guessing Severity: HIGH Generated XML: [validated ✓] Historical test: 3 matches in last 7 days (2 from known scanner, 1 from internal IP 10.0.5.22 → investigate) False positive rate: ~15% (scanner IPs) Recommendation: Deploy with scanner IP exclusion list. Deploy now? [y/N] ``` ## 完整命令参考 ### 威胁狩猎 | 命令 | 功能说明 | |---|---| | `/fsiem-hunt ` | 快速搜寻任何指标 | | `/fsiem-hypothesis-hunt ""` | 生成正式报告的结构化狩猎 | | `/fsiem-advanced-hunt beacon ` | 通过统计分析检测 C2 信标 | | `/fsiem-advanced-hunt dns-longtail` | 通过 DNS 熵分析发现 DGA/隧道 | | `/fsiem-advanced-hunt stacking processes` | 通过堆叠计数进行罕见进程检测 | | `/fsiem-advanced-hunt impossible-travel` | 通过地理位置检测凭证异常 | | `/fsiem-apt-hunt ` | 针对 APT28、APT29、Lazarus、FIN7、Sandworm、APT41 的狩猎 | | `/fsiem-threat-report ` | 摄取威胁情报报告，自动搜寻所有 IOC | | `/fsiem-ioc ` | 批量 IOC 搜寻 | | `/fsiem-attack-datasources T1110` | 检查是否具备检测某项技术所需的数据源 | ### 事件响应 | 命令 | 功能说明 | |---|---| | `/fsiem-l1-triage` | 处理告警队列 — 分类、丰富、移交 | | `/fsiem-l2-investigate ` | 全面调查 — 时间线、爆炸半径、报告 | | `/fsiem-l3-hunt` | 结合钻石模型和 ATT&CK 映射的主动狩猎 | | `/fsiem-playbook ransomware` | 逐步响应勒索软件 | | `/fsiem-playbook account-compromise` | 响应账户被盗 | | `/fsiem-playbook data-exfiltration` | 响应数据窃取 | | `/fsiem-playbook malware` | 恶意软件遏制响应 | | `/fsiem-playbook insider-threat` | 调查内部威胁 | | `/fsiem-investigate ` | 创建结构化调查记录 | | `/fsiem-ticket` | 在 ServiceNow / Jira / PagerDuty 中创建工单 | ### 检测工程 | 命令 | 功能说明 | |---|---| | `/fsiem-rule-create ` | 设计并部署关联规则 | | `/fsiem-rules list` | 列出所有活动的关联规则 | | `/fsiem-rules enable\|disable ""` | 切换规则状态 | | `/fsiem-fp-tune` | 查找并修复误报规则 | | `/fsiem-coverage-gap` | MITRE ATT&CK 覆盖范围盲区分析 | | `/fsiem-detection-code` | 将规则导出为受版本控制的 XML | ### 日常运营 | 命令 | 功能说明 | |---|---| | `/fsiem-incidents` | 按严重程度列出待处理事件 | | `/fsiem-query ` | 无需编写 XML 的事件查询 | | `/fsiem-enrich ` | 威胁情报丰富 (VT、AbuseIPDB、Shodan、GeoIP) | | `/fsiem-briefing` | 每日安全简报 | | `/fsiem-ueba ` | 具有 30 天基线的行为分析 | | `/fsiem-health` | 解析器健康状况、静默设备、采集器状态 | | `/fsiem-cmdb ` | 设备清单查询 | | `/fsiem-auto-triage` | 自主 TP/FP 分类 | ### 报告与合规 | 命令 | 功能说明 | |---|---| | `/fsiem-report-generate executive` | CISO/管理层 KPI 报告 | | `/fsiem-report-generate daily` | 每日运营报告 | | `/fsiem-report-generate shift` | 班次交接 | | `/fsiem-compliance PCI\|HIPAA\|NIST\|ISO\|SOX` | 合规报告 | | `/fsiem-multiorg sweep` | 全租户扫描 (MSSP) | ## 专业化 AI Agent 三个专为特定目标构建的 Agent，它们不仅仅是运行命令——它们能像经验丰富的安全专业人员一样**思考**、关联和推理。 ### SOC 分析师 Agent (`fsiem-analyst`) **您那永不休息的 L1/L2 分析师。** 它能分流告警队列，对每个指标运行快速检查与丰富，将事件分类为 TP/FP/良性 (Benign)，在需要时升级给 L2，并构建包含攻击时间线、爆炸半径和修复步骤的完整调查报告。处理从首次告警到签署调查结论的完整 L1 > L2 生命周期。 ``` /fsiem-l1-triage → Agent processes 20+ alerts in minutes /fsiem-l2-investigate 10432 → Agent builds complete attack narrative ``` ### 检测工程师 Agent (`fsiem-rule-engineer`) **将攻击模式转化为检测规则。** 分析 TTP，通过自然语言设计 FortiSIEM XML 关联规则，在部署前针对历史数据进行测试，通过诊断误报 (FP) 根源来调优嘈杂的规则，并针对 MITRE ATT&CK 映射您的规则库以发现覆盖盲区。 ``` /fsiem-rule-create detect credential dumping via DCSync /fsiem-fp-tune → Agent finds noisiest rules and fixes them /fsiem-coverage-gap → Agent maps gaps to MITRE ATT&CK matrix ``` ### 威胁狩猎专家 Agent (`fsiem-threat-hunter`) **像攻击者一样思考的高级威胁狩猎专家。** 运行假设驱动的狩猎，检测长期潜伏的攻击者，通过统计方法执行信标分析，构建钻石模型对手画像，映射 MITRE ATT&CK 攻击活动，并生成 TLP:AMBER 威胁情报报告。找出那些已经潜伏在您的环境中但尚未被任何人发现的威胁。 ``` /fsiem-hypothesis-hunt "insider exfiltrating data via DNS tunneling" /fsiem-apt-hunt APT29 → Agent runs all known Cozy Bear TTPs /fsiem-l3-hunt → Agent runs proactive hunt with full report ``` ## 系统架构 ``` You: "Hunt for lateral movement using PsExec" │ ▼ ┌─────────────────────────────────────────┐ │ fsiem-essentials plugin │ │ │ │ Skills → Domain knowledge + code │ │ Commands → Slash command entry points │ │ Agents → Specialized sub-processes │ │ Scripts → Python API wrappers │ └────────────────┬────────────────────────┘ │ HTTPS (Basic Auth) ▼ ┌─────────────────┐ ┌──────────────────┐ │ FortiSIEM │ │ Threat Intel │ │ REST API │ │ VirusTotal │ │ │ │ AbuseIPDB │ │ Events │ │ Shodan │ │ Incidents │ │ GeoIP / WHOIS │ │ CMDB │ └──────────────────┘ │ Rules │ └─────────────────┘ ``` 详情请参阅 [ARCHITECTURE.md](ARCHITECTURE.md)。 ## 系统要求 - **FortiSIEM 7.x** (已在 7.2 和 7.4 版本上测试) - **Python 3.9+** - **FortiSIEM API 用户**，需具备 Incident View、Analytics View、CMDB View 权限 - 可选：用于数据丰富的 VirusTotal、AbuseIPDB、Shodan API 密钥 ## 路线图 - [ ] 实时告警流处理 - [ ] 集成 Slack / Teams 进行告警通知 - [ ] 支持 FortiSIEM 7.6 API - [ ] Grafana 仪表盘模板 - [ ] 自动化的每周威胁狩猎调度 - [ ] 带图表的 PDF 报告导出 - [ ] FortiAnalyzer 交叉关联 ## 文档 | 文档 | 描述 | |---|---| | [DEMO.md](DEMO.md) | 6 个真实场景演练及完整输出 | | [INSTALL.md](INSTALL.md) | 逐步安装指南 | | [ARCHITECTURE.md](ARCHITECTURE.md) | 系统设计与 API 流程 | | [CONTRIBUTING.md](CONTRIBUTING.md) | 如何添加技能、命令和 Agent | | [TROUBLESHOOTING.md](TROUBLESHOOTING.md) | 50 多个常见问题与修复方案 | | [CHANGELOG.md](CHANGELOG.md) | 版本发布历史 | | [SECURITY.md](SECURITY.md) | 漏洞报告 | | [examples/quick-start.md](examples/quick-start.md) | 常见工作流示例 | ## 许可证 Apache 2.0 — 详见 [LICENSE](LICENSE)。

由 TechOwl Infosec 构建并维护
_{致力于为全球安全团队提供更快的 FortiSIEM 狩猎体验}

标签：AI安全, Chat Copilot, DLL 劫持, Fortinet, FortiSIEM, FTP漏洞扫描, IOC富化, IP 地址批量处理, Python, SOC自动化, XML查询, 告警分诊, 大语言模型, 威胁情报, 安全报告, 安全编排, 安全运营, 开发者工具, 扫描框架, 无后门, 网络安全, 自动化响应, 规则生成, 逆向工具, 隐私保护