ilyas-hodaiby/Threat-hunting-lab
GitHub: ilyas-hodaiby/Threat-hunting-lab
该项目提供了一个基于真实数据集和MITRE ATT&CK框架的结构化威胁狩猎实验室,旨在通过Splunk和ELK演示主动检测攻击行为的完整流程。
Stars: 0 | Forks: 0
# 🔍 威胁狩猎实验室 — 真实数据集分析
## 📌 概述
本项目记录了针对真实攻击数据集的结构化威胁狩猎调查。每次狩猎都遵循与 MITRE ATT&CK 相一致的假设驱动方法论,结合了我担任初级 SOC 分析师期间培养的检测工程技能,以及我在硕士研究期间学习的高级数据分析技术。
目标是模拟真正的威胁猎人如何运作——不仅仅是响应警报,而是主动在终端和网络遥测中搜寻隐藏的对手行为。
## 🧠 方法论
每次狩猎都遵循这种结构化方法:
```
1. Hypothesis Formation
└── Based on MITRE ATT&CK technique or threat intelligence
2. Data Collection
└── Identify relevant log sources and datasets
3. Investigation
└── Build and execute queries (Splunk / ELK)
└── Analyse patterns and anomalies
4. IOC Extraction
└── Document indicators of compromise
5. MITRE ATT&CK Mapping
└── Map findings to specific techniques
6. Reporting
└── Structured hunt report with findings
```
## 🛠️ 工具与技术
## | 工具 | 用途 |
|---|---|
| **Splunk** | 主要 SIEM — 日志搜索与关联 |
| **ELK Stack** | 辅助分析 — Elasticsearch + Kibana |
| **Python** | 自动化 — IOC 丰富与日志解析 |
| **Wireshark** | 网络流量分析 |
| **MITRE ATT&CK Navigator** | 技术映射与覆盖 |
| **VirusTotal API** | IOC 声誉检查 |
| **AbuseIPDB API** | IP 声誉丰富 |
| **Any.run** | 沙箱分析 |
## 📂 仓库结构
```
threat-hunting-lab/
│
├── README.md
├── methodology/
│ └── hunt-methodology.md
│
├── datasets/
│ └── dataset-sources.md
│
├── hunts/
│ ├── hunt-01-lateral-movement/
│ │ ├── README.md
│ │ ├── hypothesis.md
│ │ ├── queries.md
│ │ └── report.md
│ ├── hunt-02-persistence/
│ ├── hunt-03-credential-access/
│ ├── hunt-04-exfiltration/
│ └── hunt-05-c2-detection/
│
├── automation/
│ ├── ioc_enricher.py
│ ├── log_parser.py
│ ├── hunt_report_generator.py
│ └── requirements.txt
│
├── splunk-queries/
│ └── hunting-queries-library.md
│
├── mitre-mapping/
│ └── coverage-map.md
│
└── reports/
└── hunt-report-template.md
```
## 🎯 狩猎场景
| 狩猎 | 技术 | MITRE ID | 数据集 | 状态 |
|---|---|---|---|---|
| [横向移动检测](hunts/hunt-01-lateral-movement/) | Pass the Hash / RDP | T1550.002 | BOTS v1 | ✅ 已完成 |
| [通过注册表实现持久化](hunts/hunt-02-persistence/) | Registry Run Keys | T1547.001 | EVTX Attack Samples | ✅ 已完成 |
| [凭证访问](hunts/hunt-03-credential-access/) | OS Credential Dumping | T1003 | BOTS v2 | 🔄 进行中 |
| [数据窃取](hunts/hunt-04-exfiltration/) | Exfil Over C2 | T1041 | Malware Traffic | ⬜ 计划中 |
| [C2 检测](hunts/hunt-05-c2-detection/) | Application Layer Protocol | T1071 | PCAP Analysis | ⬜ 计划中 |
## 🔗 使用的数据集
| 数据集 | 来源 | 类型 |
|---|---|---|
| **BOTS v1 & v2** | Splunk Boss of the SOC | Windows + 网络日志 |
| **EVTX Attack Samples** | github.com/sbousseaden | Windows 事件日志 |
| **OTRF Security Datasets** | github.com/OTRF | 终端遥测 |
| **Malware Traffic Analysis** | malware-traffic-analysis.net | PCAP 文件 |
| **Zeek Logs** | zeek.org | 网络元数据 |
## 🤖 自动化脚本
标签:AbuseIPDB, Any.run, Ask搜索, asyncio, ATT&CK 框架, BurpSuite集成, Cloudflare, Elasticsearch, ELK Stack, IOC, MITRE ATT&CK, Python, VirusTotal, Wireshark, 代码示例, 假设驱动, 句柄查看, 失陷指标, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据分析, 数据集分析, 无后门, 横向移动, 沙箱分析, 编程规范, 网络安全, 网络流量分析, 逆向工具, 隐私保护