CrystalHarris01/ai-threat-hunting-cli

# AI威胁狩猎命令行工具 AI Threat Hunting CLI 是一个面向初学者的网络安全作品集项目，专注于使用基于终端的 AI 辅助工具来支持威胁狩猎、告警分类、日志审查和检测文档编写。 该项目设计为一个实践实验室，结合了 Parrot OS、ShellGPT/OpenAI API 的使用、Wazuh、Sysmon、Windows 端点遥测、示例日志、Sigma 规则以及结构化的狩猎报告。 ## 项目目的 此仓库的目的是展示一个可重复的威胁狩猎工作流程： 1. 收集或生成安全遥测数据。 2. 审查日志和可疑活动。 3. 使用 AI 辅助工具总结并解释发现。 4. 将行为映射到 MITRE ATT&CK。 5. 编写检测逻辑。 6. 在专业狩猎报告中记录发现。 这并非取代分析师的判断。AI 辅助工具作为解释、总结和文档编写的支持工具，而分析师则手动验证证据。 ## 实验室架构 规划的实验室组件： | 组件 | 用途 | |---|---| | Parrot OS | 分析师工作站和终端环境 | | ShellGPT | 基于终端的 AI 辅助工具 | | OpenAI API | 用于分析提示的 AI 模型访问 | | Windows 虚拟机 | 端点遥测源 | | Sysmon | Windows 进程和事件可见性 | | Wazuh | SIEM/XDR 平台，用于告警和仪表板 | | 示例日志 | 用于可重复调查的安全测试数据 | | Sigma 规则 | 可移植的检测逻辑 | ## 规划的文件夹结构 ``` ai-threat-hunting-cli/ ├── README.md ├── sample_logs/ ├── hunt_reports/ ├── sigma_rules/ ├── screenshots/ └── scripts/ ``` └── scripts/ ## 当前已完成的内容 - 创建了 AI 辅助威胁狩猎文档的项目结构 - 添加了示例 Nmap 扫描日志 - 添加了 Python 脚本，用于从 Nmap 输出中解析开放的 TCP 端口 - 添加了 Nmap 威胁分析狩猎报告 - 添加了用于可疑侦察活动的 Sigma 风格检测规则 - 添加了记录终端 AI 工作流程和分析输出的截图 ## 工作脚本 运行 Nmap 日志分析器： ``` python3 scripts/analyze_nmap_log.py ## 初始 Threat Hunting 场景 ### 场景 1：Nmap 侦察 Simulate or analyze network scanning activity and document signs of reconnaissance. Potential indicators: - Multiple ports probed in a short time window - SYN scan behavior - Unusual source host activity - Service enumeration attempts MITRE ATT&CK mapping: - T1046 - Network Service Discovery ### 场景 2：可疑 PowerShell Analyze PowerShell activity for signs of abuse. Potential indicators: - Encoded PowerShell commands - Suspicious parent-child process relationships - Download cradle behavior - Hidden or bypass execution flags MITRE ATT&CK mapping: - T1059.001 - PowerShell ### 场景 3：身份验证 Brute Force Review failed login activity and identify possible brute-force behavior. Potential indicators: - Repeated failed logins - Multiple attempts against one account - Multiple accounts targeted from one host - Login attempts outside normal activity windows MITRE ATT&CK mapping: - T1110 - Brute Force ## 示例 Terminal 用法 ```bash sgpt "Explain what a SIEM is in one paragraph." ``` ``` cat sample_logs/example.log | sgpt "Identify suspicious behavior and map it to MITRE ATT&CK." ``` ## 狩猎报告模板 每项调查应包括： - 执行摘要 - 范围 - 数据源 - 时间线 - 发现 - 入侵指标 - MITRE ATT&CK 映射 - 检测逻辑 - 修复建议 - 经验教训 ## 安全使用声明 本项目仅用于防御性安全教育、检测工程和作品集开发。任何攻击模拟只能在用户拥有或明确授权的实验室环境中执行。 未经许可，不得对系统运行扫描、暴力破解工具、漏洞利用代码或可疑脚本。 ## 作品集目标 本项目旨在展示以下方面的实际能力： - 威胁狩猎 - SOC 调查工作流程 - SIEM/日志分析 - 检测文档编写 - MITRE ATT&CK 映射 - 基于 AI 辅助的网络安全工作流程 - 基于 GitHub 的技术文档 ## 状态 项目已初始化。未来的更新将添加示例日志、Sigma 规则、脚本、截图和完整的狩猎报告。

标签：AI辅助, BurpSuite集成, Cloudflare, MITRE ATT&CK, OpenAI, Parrot OS, Petitpotam, ShellGPT, Sigma规则, Sysmon, Wazuh, 内存规避, 家庭实验室, 应用安全, 目标导入, 端点检测, 网络安全, 警报分类, 逆向工具, 隐私保护, 项目实践