briwandt/threatscope
GitHub: briwandt/threatscope
结合 Elastic SIEM 与本地大语言模型的电信与云环境防御性威胁狩猎平台,通过关联分析和 MITRE ATT&CK 映射自动生成 CTI 分析与狩猎建议。
Stars: 0 | Forks: 0
# ThreatScope
为防御性安全操作、电信威胁检测和 SOC 自动化设计的 AI 辅助电信威胁狩猎与 CTI 分析平台。
# 概述
ThreatScope 是一个防御性的网络威胁狩猎平台,旨在模拟现代 SOC 和 CTI 团队如何利用 AI 辅助工作流来识别以下领域的可疑活动:
- 电信信令基础设施
- 云身份系统
- VPN 和远程访问遥测数据
- 端点活动
- 边缘网络设备
- 承包商和内部威胁场景
该平台结合了:
- Elastic SIEM 遥测数据
- 基于关联的检测逻辑
- MITRE ATT&CK 映射
- AI 生成的威胁分析
- 针对电信的威胁建模
- 自主狩猎工作流
- Groq 托管的 Llama 3 推理
ThreatScope 旨在作为一个作品集项目,用于演示以下实用内容:
- 检测工程
- AI 辅助威胁狩猎
- 电信 CTI 分析
- SIEM 集成
- 自主 SOC 工作流
# 技术栈
- Python
- Streamlit
- Elasticsearch
- Docker
- Groq API
- Llama 3
- Prompt Engineering
- MITRE ATT&CK
- 电信 CTI
- 检测工程
# 架构
ThreatScope 持续执行以下操作:
1. 轮询遥测源
2. 关联弱威胁指标
3. 计算风险评分
4. 生成自主告警
5. 生成 AI 辅助的 CTI 分析
该平台模拟了增强 AI 的 SOC 工具如何加速:
- 威胁分诊
- 检测工程
- 分析师工作流
- 电信威胁狩猎
# 电信威胁覆盖范围
## 信令威胁
- SS7 滥用
- Diameter 滥用
- GTP 异常
- 漫游操纵
- 位置追踪指标
- SMS 拦截指标
## 边缘基础设施威胁
- VPN 设备
- Cisco 边缘设备
- 路由器
- 防火墙
- 远程管理接口
## 身份威胁
- 欺诈性承包商
- 内部风险
- OAuth 滥用
- 特权角色升级
- 不可能旅行活动
# MITRE ATT&CK 覆盖范围
示例包括:
- T1078 — 有效账户
- T1059 — 命令和脚本解释器
- T1047 — Windows 管理规范
- T1136 — 创建账户
- T1098 — 账户操纵
- T1021 — 远程服务
- T1556 — 修改身份验证流程
# 本地 Elastic SIEM 实验室
ThreatScope 支持使用 Docker 的本地 Elastic SIEM 实验室。
遥测数据可以:
- 进行模拟
- 被摄取到 Elasticsearch
- 由 ThreatScope 自动轮询
- 关联并生成 AI 辅助检测
# 公开演示
公开的 Streamlit 部署使用:
- 模拟遥测数据
- 自主威胁关联
- AI 辅助的 CTI 分析
Elastic SIEM 集成已在本地使用 Docker 和 Elasticsearch 进行了测试。
# 本地运行
## 克隆仓库
```
git clone https://github.com/briwandt/threatscope.git
cd threatscope
```
## 安装依赖
```
pip install -r requirements.txt
```
## 运行 Streamlit
```
streamlit run app.py
```
# Elastic SIEM 实验室设置
## 启动 Elastic + Kibana
```
docker compose up -d
```
## 加载样本遥测数据
```
python load_sample_logs.py
```
## 打开 Elasticsearch
```
http://localhost:9200
```
# Streamlit Secrets
创建:
```
.streamlit/secrets.toml
```
添加:
```
GROQ_API_KEY = "your_api_key_here"
```
## Elastic SIEM 集成
ThreatScope 包含一个使用 Docker 和 Elasticsearch 构建的本地 Elastic SIEM 实验室。
该平台可以:
- 摄取模拟的 SIEM 遥测数据
- 查询 Elasticsearch 索引
- 持续轮询遥测数据
- 关联可疑活动
- 生成自主告警
### 本地 Elastic 架构
```
Simulated Telemetry
↓
Elasticsearch
↓
ThreatScope Connector Layer
↓
Correlation Engine
↓
MITRE ATT&CK Mapping
↓
AI-Assisted CTI Analysis
```
### Elastic 功能演示
- 基于 Docker 的 Elastic 部署
- Elasticsearch 遥测数据摄取
- 实时轮询
- 自主检测逻辑
- 风险评分
- 基于关联的告警
- 针对电信的遥测分析
### Elastic 遥测数据示例
```
{
"@timestamp": "2026-05-11T07:41:22Z",
"source": "SIEM",
"event": "vpn_login",
"user": "contractor.mills",
"status": "success",
"source_ip": "185.220.101.44",
"country": "RU",
"device": "new-device",
"category": "vpn_iab"
}
```
# 未来增强
- Sigma 规则摄取
- UEBA 关联
- 威胁情报富化
- 实时告警流
- 检测调优
- SOAR 集成
- 多租户遥测支持
- 威胁图谱可视化
- SOC 仪表盘化
# 目的
本项目演示了:
- AI 辅助威胁狩猎
- 电信 CTI 分析
- 检测工程
- SIEM 集成
- 自主 SOC 工作流
- 实用防御性 AI 应用
# 免责声明
本项目严格用于:
- 防御性安全研究
- 威胁狩猎教育
- 检测工程演示
不包含任何攻击性功能。
标签:7号信令系统安全, AI安全, APT攻击指标, Chat Copilot, Cloudflare, CTI分析, Diameter协议安全, DLL 劫持, Docker, Elasticsearch, Groq API, GTP异常, IP 地址批量处理, Kubernetes, Llama 3, MITRE ATT&CK, PE 加载器, Python, Rego, SOC自动化, Streamlit, Sysdig, VPN安全, 云环境安全, 云身份活动, 企业安全, 内部威胁, 大语言模型, 威胁建模, 威胁情报, 子域名变形, 安全告警, 安全运营中心, 安全防御评估, 开发者工具, 开源安全工具, 异常检测, 提示词工程, 插件系统, 无后门, 电信安全, 端点活动监控, 策略决策点, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 访问控制, 请求拦截, 边界设备安全, 逆向工具, 逆向工程平台, 隐私保护, 风险评分