cpt-ferna02/ai-threat-hunt-analyst
GitHub: cpt-ferna02/ai-threat-hunt-analyst
基于Claude API的AI驱动威胁狩猎系统,能够自动解析Windows/Sysmon EVTX日志,跨数据集关联攻击模式并生成映射MITRE ATT&CK的专业事件报告。
Stars: 0 | Forks: 0
# 自主威胁狩猎分析师
由 AI 驱动的威胁狩猎系统,可自主分析 Windows/Sysmon 事件日志,关联整个时间轴上的攻击模式,并生成映射到 MITRE ATT&CK 的专业 SOC 事件报告。
   
## 报告输出
## 功能简介
大多数 SOC 工具每次只处理一个告警。本系统能够对整个日志数据集进行推理,通过时间、进程血缘和主机上下文关联事件,自动重构完整的攻击杀伤链。
**输入:** 原始 Windows EVTX / Sysmon 日志
**输出:** 带有 MITRE ATT&CK 杀伤链映射的专业 HTML 事件报告
## 系统架构
logs/ (原始 .evtx 文件)
↓
log_parser.py → 将事件规范化为结构化 JSON
↓
hunt_engine.py → Claude Haiku 将事件关联到杀伤链阶段
↓
report_writer.py → Claude Sonnet 生成叙事性 HTML 事件报告
↓
reports/ (带时间戳的 HTML 报告)
## 快速开始
### 1. 克隆仓库
```
git clone https://github.com/cpt-ferna02/ai-threat-hunt-analyst.git
cd ai-threat-hunt-analyst
```
### 2. 设置环境
```
python3 -m venv venv
source venv/bin/activate
pip install anthropic python-evtx lxml
```
### 3. 设置 API 密钥
```
export ANTHROPIC_API_KEY="your-key-here"
```
### 4. 添加 EVTX 日志
```
git clone https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES.git samples
cp samples/Execution/*.evtx logs/
cp samples/Persistence/*.evtx logs/
```
### 5. 运行狩猎任务
```
python3 main.py
```
## 示例输出
[PHASE 1] 正在解析 EVTX 日志...
[+] 共解析 10 个文件中的 83 个事件
[PHASE 2] 正在运行 AI 威胁狩猎 (Claude Haiku)...
[+] 批次 1: threat_detected=True, confidence=High
[+] 批次 2: threat_detected=True, confidence=High
[+] 11/11 个批次标记了威胁
[PHASE 3] 正在生成事件报告 (Claude Sonnet)...
[+] 报告已保存至 reports/incident_report_20260513_200148.html
## 命令行选项
| 标志 | 默认值 | 描述 |
|------|---------|-------------|
| `--logs` | `logs/` | EVTX 日志文件夹路径 |
| `--max-files` | `10` | 最大解析 EVTX 文件数 |
| `--max-events` | `20` | 每个文件的最大事件数 |
| `--output` | 自动添加时间戳 | 输出 HTML 报告路径 |
## AI 模型策略
| 任务 | 模型 | 原因 |
|------|-------|--------|
| 事件关联与杀伤链分期 | Claude Haiku | 快速、成本低,适合处理大量批次 |
| 叙事性报告生成 | Claude Sonnet | 高质量的文本与 HTML 输出 |
## 检测能力
- 本地账户创建和权限提升
- 滥用 BITS 任务实现持久化
- 计划任务持久化
- Rundll32 / LOLBAS 执行
- 卷影副本滥用
- 基于注册表的持久化
- 通过重命名二进制文件实现防御规避
- 基于 FTP 的命令执行
- 恶意 MSI 安装
所有发现均映射至 MITRE ATT&CK 技术 ID。
## 项目结构
ai-threat-hunt-analyst/
├── main.py # 主运行器
├── modules/
│ ├── log_parser.py # EVTX 解析器
│ ├── hunt_engine.py # Claude Haiku 关联引擎
│ └── report_writer.py # Claude Sonnet 报告生成器
├── logs/ # 输入 EVTX 文件和解析后的 JSON
├── reports/ # 输出 HTML 报告
├── screenshots/ # 演示报告截图
└── README.md
## 框架与工具
- Anthropic Claude API
- MITRE ATT&CK
- python-evtx
- 由 sbousseaden 提供的 EVTX-ATTACK-SAMPLES
标签:AI安全, Anthropic API, Chat Copilot, Claude API, Claude Haiku, Claude Sonnet, Cloudflare, DLL 劫持, EVTX日志解析, HTML报告, IOC提取, Kill Chain, MITRE ATT&CK, Python, SOC自动化, Sysmon, Threat Hunting, 大语言模型, 子域名变形, 安全人工智能, 安全分析与运营, 安全报告生成, 攻击链分析, 无后门, 日志关联分析, 端点安全, 网络信息收集, 网络安全, 自动化威胁分析, 补丁管理, 逆向工具, 隐私保护