Raphasha27/kirov-threat-hunter

GitHub: Raphasha27/kirov-threat-hunter

基于 MITRE ATT&CK 框架的主动威胁狩猎平台,整合多源情报关联、IOC 生命周期管理和 AI 辅助调查,帮助安全分析师在威胁造成实际危害前主动发现失陷痕迹。

Stars: 1 | Forks: 0

![Kirov Threat Hunter 徽标](https://img.shields.io/badge/KIROV-THREAT%20HUNTER-ff6600?style=for-the-badge&logo=mitre)

Status License Release Python MITRE ATT&CK STIX PRs Welcome

主动威胁狩猎平台
IOC 跟踪、攻击模式分析、MITRE ATT&CK 映射以及 AI 驱动的调查助手。

## 📋 描述 **Kirov Threat Hunter** 是一个主动威胁狩猎平台,使安全分析师能够系统地在基础设施中搜索失陷标示 (IOC)、对手战术和攻击模式。它将每一项发现映射到 MITRE ATT&CK 框架,关联来自内部和外部来源的情报,并提供一个 AI 调查助手来指导分析师进行狩猎。 该平台支持完整的威胁狩猎生命周期:假设生成、数据收集、模式分析、文档记录和修复跟踪。无论您是基于最新的 CISA 咨询公告进行狩猎,还是调查异常网络行为,Kirov Threat Hunter 都能提供相应的工具和情报,在威胁演变成安全漏洞之前发现它们。 ## 🏗️ 架构 ``` graph TB subgraph "Intel Sources" OSINT[OSINT Feeds] TAXII[TAXII Servers] MISP[MISP Communities] CUSTOM[Custom Feeds] end subgraph "Threat Hunter Engine" API[FastAPI Server] IOC[IOC Manager] TTP[TTP Mapper] CORR[Correlation Engine] AI[AI Investigation Assistant] HUNT[Hunt Playbook Engine] end subgraph "Storage" PG[(PostgreSQL)] REDIS[(Redis)] ES[(Elasticsearch)] NEO4J[(Neo4j Graph)] end subgraph "Consumers" DASH[Security Dashboard] CLI[CLI / API] WEB[Web UI] ALERT[Alert System] end OSINT --> IOC TAXII --> IOC MISP --> IOC CUSTOM --> IOC IOC --> CORR CORR --> TTP TTP --> NEO4J AI --> HUNT HUNT --> CORR API --> IOC API --> TTP API --> HUNT API --> AI API --> PG API --> REDIS API --> ES DASH --> API CLI --> API WEB --> API ALERT --> API ``` ## ✨ 核心功能 - **🎯 MITRE ATT&CK 映射** — 自动将 IOC 和 TTP 映射到 MITRE ATT&CK v15 框架,并生成覆盖率热图 - **🔍 IOC 生命周期管理** — 完整的生命周期跟踪:摄取、丰富、验证、优先级排序和退役 - **📋 狩猎手册** — 预置和自定义的狩猎手册,提供分步指导、数据查询和预期结果 - **🧠 AI 调查助手** — 自然语言接口,用于查询威胁数据、生成假设和总结发现 - **🔗 多源情报关联** — 关联来自 OSINT、TAXII、MISP、商业情报源和内部遥测数据的 IOC - **📈 活动跟踪** — 将 TTP、IOC 和受影响资产归类为对手活动,并提供时间线可视化 - **🕸️ 实体关系图** — 基于 Neo4j 的图可视化,展示 IOC、资产、对手和活动之间的联系 - **📊 狩猎指标** — 覆盖率分析、假设成功率、平均检测时间和猎人生产力仪表板 - **🔄 自动情报共享** — 将发现发布到 MISP 社区、TAXII 集合和 STIX 2.1 包中 - **🔐 Pivot 分析** — 一键从任意 IOC 进行 Pivot,发现相关标示和隐藏的基础设施 ## 🛠️ 技术栈 | 类别 | 技术 | |----------|-----------| | **后端** | FastAPI 0.110+ (Python 3.11+) | | **前端** | React 18 + TypeScript (Vite) | | **图数据库** | Neo4j 5 | | **搜索引擎** | Elasticsearch 8 | | **关系型数据库** | PostgreSQL 16 | | **缓存** | Redis 7 | | **情报格式** | STIX 2.1, TAXII 2.1, MISP JSON | | **AI/LLM** | OpenAI / Anthropic / 本地 Ollama | | **容器化** | Docker, Docker Compose | | **可视化** | D3.js, Cytoscape.js | | **任务队列** | Celery + RabbitMQ | ## 🚀 快速开始 ### 前置条件 - Python 3.11+、Docker 和 Docker Compose - Neo4j 数据库(包含在 Docker Compose 中) - TAXII 服务器凭据(可选,用于外部数据源) ### 安装 ``` # 克隆仓库 git clone https://github.com/Raphasha27/kirov-threat-hunter.git cd kirov-threat-hunter # 复制环境配置 cp .env.example .env # 使用你的数据库凭证和 API 密钥编辑 .env # 使用 Docker Compose 启动 docker compose up -d # 或者用于本地开发: cd server python -m venv venv source venv/bin/activate # Windows: venv\Scripts\activate pip install -r requirements.txt uvicorn app.main:app --reload --port 8000 ``` ### 加载初始情报 ``` # 导入 STIX bundle curl -X POST http://localhost:8000/api/v1/intel/import \ -H "Content-Type: application/json" \ -d @iocs/feeds/cisa-known-exploited.json # 添加 TAXII feed source curl -X POST http://localhost:8000/api/v1/feeds \ -H "Content-Type: application/json" \ -d '{"name": "CISA AIS", "type": "taxii", "url": "https://ais.cisa.gov/" }' ``` ### 运行您的第一次狩猎 ``` # 执行预构建的 hunt playbook curl -X POST http://localhost:8000/api/v1/hunts/execute \ -H "Content-Type: application/json" \ -d '{"playbook": "log4j-scanning", "scope": {"date_range": "7d"}}' ``` ## 📡 API 概览 | 端点 | 方法 | 描述 | |----------|--------|-------------| | `/api/v1/health` | GET | 健康检查 | | `/api/v1/iocs` | GET | 列出所有 IOC | | `/api/v1/iocs` | POST | 创建新的 IOC | | `/api/v1/iocs/:id` | GET | IOC 详情 | | `/api/v1/iocs/:id/relationships` | GET | IOC 关系图 | | `/api/v1/hunts` | GET | 列出狩猎活动 | | `/api/v1/hunts` | POST | 创建新狩猎 | | `/api/v1/hunts/:id/execute` | POST | 执行狩猎手册 | | `/api/v1/ttp-mapping` | GET | MITRE ATT&CK 覆盖图 | | `/api/v1/intel/import` | POST | 导入 STIX/MISP 情报 | | `/api/v1/feeds` | GET | 列出已配置的情报源 | | `/api/v1/campaigns` | GET | 列出对手活动 | | `/api/v1/ai/query` | POST | AI 调查员查询 | ## 🔗 与 Kirov 生态系统集成 | 组件 | 集成方式 | |-----------|-------------| | **[安全仪表板](https://github.com/Raphasha27/kirov-security-dashboard)** | 提供狩猎指标和 IOC 仪表板数据 | | **[AI 安全助手](https://github.com/Raphasha27/kirov-ai-security-assistant)** | 将代码漏洞与 TTP 进行关联 | | **[OSINT 情报](https://github.com/Raphasha27/kirov-osint-intelligence)** | 利用暗网和社交媒体情报丰富 IOC | | **[网络自动化引擎](https://github.com/Raphasha27/kirov-cyber-automation-engine)** | 在关键 IOC 匹配时触发自动响应手册 | | **[网络防御平台](https://github.com/Raphasha27/kirov-network-defense-platform)** | 提供网络流数据以进行 IOC 检测 | | **[云安全监控器](https://github.com/Raphasha27/kirov-cloud-security-monitor)** | 云端 IAM 和资源 IOC | ## 🔒 安全考量 - **IOC 数据敏感性**:IOC 可能包含有关您基础设施的敏感信息。请对静态数据和传输中数据进行加密。 - **TAXII 身份验证**:使用客户端证书或 API token 进行 TAXII 数据源连接 - **Neo4j 安全**:启用身份验证;限制对 Neo4j 容器的网络访问 - **API 访问控制**:实施 RBAC — 将狩猎创建权限限制为高级分析师,读取权限赋予 SOC 团队 - **外部数据源验证**:所有摄取的 IOC 都经过验证和清理,以防止恶意 payload 注入 - **AI 数据隐私**:在分类或敏感网络进行狩猎时,考虑自行托管 LLM 模型 ## 🗺️ 路线图 - [ ] **2026 年第三季度** — Active Directory 攻击路径分析以及 Kerberoasting/AS-REP 狩猎 - [ ] **2026 年第三季度** — 从行业威胁报告中自动生成假设(PDF 解析) - [ ] **2026 年第四季度** — 具有共享调查工作空间的实时狩猎协作 - [ ] **2026 年第四季度** — 集成 Sigma 规则以实现 SIEM 关联 - [ ] **2027 年第一季度** — 基于机器学习的异常评分,用于检测未知 TTP - [ ] **2027 年第一季度** — 集成欺骗技术(蜜罐数据源关联) ## 📄 许可证 该项目基于 **MIT License** 授权 — 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 由 **Kirov Security Labs** 创建和维护 — Kirov 的研发部门,致力于推动 AI 驱动的网络安全解决方案。

更智能地狩猎。在威胁找到您之前找到它们。

标签:Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 搜索引擎查询, 无后门, 测试用例, 请求拦截, 逆向工具