sergiu-bujor/Threat-Hunting

# MITRE ATT&CK + D3FEND 猎杀查询 一个实用的网络威胁猎杀查询包，将选定的 MITRE ATT&CK 技术映射到相关的 MITRE D3FEND 防御概念，然后提供以下平台的起始猎杀查询： - Splunk SPL - CrowdStrike Falcon LogScale / CQL-style 猎杀 - Microsoft Defender 高级猎杀 KQL 主要猎杀包可在以下位置获取： ``` mitre-attack-d3fend-hunt-pack.md ``` ## 目的 此存储库旨在帮助分析师、检测工程师、SOC 工程师和安全平台工程师通过以下方式构建实用的威胁猎杀： 1. 使用 MITRE ATT&CK 战术和技术来了解**对手的行为**。 2. 使用 MITRE D3FEND 防御技术来了解**防御者如何推理活动**。 3. 在常见的安全平台中**猎杀行为**。 重点是基于行为的猎杀，而不是单个 IOC 匹配。 ## 当前覆盖范围 当前猎杀包包括以下活动的查询： - 可疑 PowerShell 执行 - 定时任务创建 - LOLBin 代理执行 - LSASS 凭据转储指标 - 下载实用程序有效负载传输 - 发现命令聚类 - 注册表运行键和启动持久性 - 安全控制篡改 - WMI 远程执行指标 - 随后出站网络活动的归档创建 每个部分包括： - ATT&CK 战术 - ATT&CK 技术 - D3FEND 防御对齐 - 猎杀逻辑 - Splunk 查询 - CrowdStrike 查询 - Microsoft Defender 高级猎杀 KQL 查询 - 相关的调整说明 ## 平台说明 ### Splunk 尽可能使用 Splunk 常见信息模型（CIM）的 Splunk 示例，特别是端点数据模型，例如： - `Endpoint.Processes` - `Endpoint.Registry` - `Endpoint.Filesystem` - `Authentication` 如果您的环境不使用 CIM 标准化数据，请调整搜索以匹配您的索引、源类型和字段名称。 ### CrowdStrike CrowdStrike 示例使用 Falcon LogScale / CQL-style 猎杀语法。 常用的字段包括： - `#event_simpleName` - `ImageFileName` - `CommandLine` - `ParentBaseFileName` - `ComputerName` - `UserName` - `aid` - `TargetProcessId` 字段名称可能因 CrowdStrike 产品区域、解析器、数据集和日志源而异。在使用之前，请在自己的环境中验证查询。 ### Microsoft Defender Microsoft 查询适用于 Microsoft Defender XDR 高级猎杀 / Microsoft Defender for Endpoint。 它们**不是**Sentinel 分析规则。 常用的表包括： - `DeviceProcessEvents` - `DeviceNetworkEvents` - `DeviceRegistryEvents` - `DeviceFileEvents` - `DeviceLogonEvents` - `DeviceEvents` ## 存储库结构 建议的结构： ``` . ├── README.md ├── mitre-attack-d3fend-hunt-pack.md ├── splunk/ ├── crowdstrike/ └── defender/ ``` 如果查询被拆分为单独的文件，则可选的未来结构： ``` . ├── README.md ├── mitre-attack-d3fend-hunt-pack.md ├── splunk/ │ ├── T1059.001-powershell.spl │ ├── T1053.005-scheduled-task.spl │ └── T1218-lolbin-proxy-execution.spl ├── crowdstrike/ │ ├── T1059.001-powershell.cql │ ├── T1053.005-scheduled-task.cql │ └── T1218-lolbin-proxy-execution.cql └── defender/ ├── T1059.001-powershell.kql ├── T1053.005-scheduled-task.kql └── T1218-lolbin-proxy-execution.kql ``` ## 使用方法 1. 打开 `mitre-attack-d3fend-hunt-pack.md`。 2. 选择相关的 ATT&CK 技术或猎杀主题。 3. 复制您平台的查询。 4. 调整字段名称、索引、事件类型和时间范围。 5. 在合适的历史窗口中运行查询。 6. 手动审查返回的事件。 7. 添加本地允许列表和已知良好的管理员活动。 8. 仅将验证过的逻辑转换为计划检测或警报。 ## 调整指南 这些查询被设计为起点。在使用它们作为检测之前： - 验证平台特定的字段名称。 - 添加已知良好的管理员工具。 - 添加预期的父进程允许列表。 - 在适当的情况下排除批准的软件部署系统。 - 如果相关，排除已知的 IT 管理员跳板。 - 添加资产重要性和用户上下文。 - 在可能的情况下审查至少 30 到 90 天的历史结果。 - 将高置信度检测逻辑与广泛的猎杀逻辑分开。 - 记录误报模式。 ## 重要限制 这些查询不能保证在所有环境中都能正常工作。 原因包括： - 不同的日志覆盖范围 - 不同的端点产品 - 不同的 Splunk CIM 映射 - 不同的 CrowdStrike 数据集结构 - 缺少的命令行遥测 - 与攻击者技巧相似的本地管理员工具 - 产品特定的解析差异 - 触发可疑模式的良性自动化 将内容视为猎杀基线，而不是完整的检测库。 ## 目标受众 此存储库对以下人员有用： - SOC 分析师 - 检测工程师 - 威胁猎杀者 - 安全工程师 - 事件响应人员 - XDR 工程师 - SIEM/SOAR 平台工程师 - 蓝队实验室构建者 ## 未来改进 潜在的未来添加： - Sigma 规则等效 - YARA-L 或 Chronicle 查询 - XSIAM XQL 版本 - Elastic EQL/KQL 版本 - 专门的检测工程笔记 - 严重性和置信度评分 - 误报示例 - ATT&CK 导航器层 - D3FEND 映射表 - 测试数据和回放示例 - Atomic Red Team 验证参考 - 每个平台的查询文件 - 查询更改日志 ## 免责声明 此存储库用于防御性安全运营、检测工程和威胁猎杀。 查询按原样提供，应在生产监控或警报之前在受控环境中进行验证。 不要仅依赖这些查询来检测技术。有效的检测通常需要多个遥测源、基线、丰富和分析师审查。 ## 参考资料 - MITRE ATT&CK: https://attack.mitre.org/ - MITRE D3FEND: https://d3fend.mitre.org/ - Microsoft Defender 高级猎杀: https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-overview - Splunk 搜索处理语言: https://help.splunk.com/en/splunk-enterprise/search/spl-search-reference - CrowdStrike Falcon LogScale 文档: https://library.humio.com/