v3nomtech/Threat_hunting

GitHub: v3nomtech/Threat_hunting

围绕 ELK Stack 和 MITRE ATT&CK 构建的开源威胁狩猎笔记本,提供结构化假设模板、多种格式检测规则和实战狩猎记录,帮助蓝队从被动响应转向主动防御。

Stars: 0 | Forks: 0

Threat Hunting Arsenal banner Animated tagline

*一个用于主动防御的活图书馆 —— 围绕 ELK stack、MITRE ATT&CK 以及“如果攻击者已经潜伏在内网,我会看到什么?”的探索准则而构建。* [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](LICENSE) [![Stack](https://img.shields.io/badge/Stack-Elastic-005571?logo=elasticstack&logoColor=white)](https://www.elastic.co/security) [![ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red)](https://attack.mitre.org/) [![Sigma](https://img.shields.io/badge/Rules-Sigma-yellow)](https://github.com/SigmaHQ/sigma) [![PRs Welcome](https://img.shields.io/badge/PRs-welcome-brightgreen.svg)](#contributing) ![Last Commit](https://img.shields.io/github/last-commit/v3nomtech/Threat_hunting) ![Repo Stars](https://img.shields.io/github/stars/v3nomtech/Threat_hunting?style=social)
## 为什么创建这个仓库 这是我用于威胁狩猎工作的开放笔记本——包含我测试过的假设、交付过的检测逻辑、Medium 上的文章,以及塑造了我思维的参考资料。如果你是一名分析师、检测工程师或蓝队成员,正在构建你自己的技术体系,请取其精华,去其糟粕。 这里的目标是提供**实用、ELK 优先、与 ATT&CK 对齐**的材料——而不是为了理论而理论。 ## 目录 - [仓库结构](#repository-structure) - [狩猎循环](#the-hunting-cycle) - [假设](#hypotheses) - [检测规则](#detection-rules) - [文章与深度解析](#write-ups--articles) - [资源](#resources) - [工具速查表](#tooling-cheatsheet) - [狩猎日志](#hunt-log) - [贡献](#contributing) - [联系](#connect) ## 仓库结构 ``` Threat_hunting/ ├── hypotheses/ # ATT&CK-aligned hunt hypotheses (one per file) │ ├── credential-access/ │ ├── defense-evasion/ │ ├── execution/ │ ├── lateral-movement/ │ └── persistence/ ├── rules/ # Production-ready detection logic │ ├── elastic/ # EQL, KQL, ES|QL │ ├── sigma/ # Vendor-agnostic Sigma rules │ └── yara/ # File / memory signatures ├── notebooks/ # Jupyter notebooks for data-driven hunts ├── playbooks/ # Step-by-step IR + hunting playbooks ├── writeups/ # Long-form Medium / blog drafts ├── datasets/ # Sample logs, replay packs, lab artifacts ├── resources/ # Curated reading, courses, podcasts └── README.md ``` ## 狩猎循环 ``` flowchart LR A[Define
Hypothesis] --> B[Identify
Data Sources] B --> C[Develop
Analytics] C --> D[Hunt &
Pivot] D --> E{Findings?} E -- Yes --> F[Triage &
Respond] E -- No --> G[Tune
Hypothesis] F --> H[Codify into
Detection] G --> A H --> A ``` 每一个能够提取出可重复信号的狩猎过程最终都会被移入 `rules/` 目录。一旦它成为一个检测项,新的假设就会开启新的循环。 ## 假设 此仓库中的每次狩猎都遵循相同的模板——因此任何人都可以运行、证伪或改进它。 | ID | 标题 | ATT&CK 战术 | 状态 | | ----- | ---------------------------------------------------- | -------------------------- | -------------- | | H-001 | 可疑的 WMI 事件订阅持久化 | TA0003 持久化 | 已投产 | | H-002 | 来自异常父进程的 LSASS 访问 | TA0006 凭证访问 | 狩猎中 | | H-003 | 通过长/高熵子域名进行的 DNS 隧道 | TA0011 命令与控制 (C2) | 狩猎中 | | H-004 | 服务二进制路径引号滥用 | TA0004 权限提升| 草稿 | | H-005 | 由非管理员用户创建的计划任务 | TA0003 持久化 | 草稿 | ### 假设模板 ``` id: H-XXX title: Short, falsifiable statement tactic: TA0XXX technique: TXXXX[.XXX] data_sources: - Windows Event Logs (4688, 4624) - Sysmon (Event ID 1, 3, 11) - EDR process telemetry hypothesis: | If an adversary is using , we should observe in within
标签:ATT&CK框架, Cloudflare, Elasticsearch, ELK技术栈, Logstash, MITRE ATT&CK, MIT许可证, OpenCanary, Sigma规则, Threat Hunting, URL发现, 假设检验, 威胁情报, 安全分析师, 安全响应, 安全检测, 安全规则库, 开发者工具, 目标导入, 知识库安全