Steven-T24/ghosttrace

# GHOSTTRACE **对手模拟与威胁狩猎培训平台** GHOSTTRACE 是一个结构化的威胁狩猎培训平台，可跨云和端点环境模拟真实的对手活动。它引导分析师遵循与 [ThreatHunter Playbook](https://threathunterplaybook.com) 相一致的假设驱动调查方法，并在每次会话结束时对整个狩猎过程进行 AI 驱动的评估。 ## 在线演示 🔗 **[ghosttrace-w1jo.onrender.com](https://ghosttrace-w1jo.onrender.com)** ## 什么是 GHOSTTRACE？ GHOSTTRACE 是一款专为 SOC 分析师和威胁狩猎者设计的培训工具。每次狩猎会话都遵循结构化的六阶段工作流： 1. **选择**仪表板中的一个 APT 组织 2. **研究**该组织，使用权威威胁情报参考（MITRE ATT&CK、CISA、Mandiant、The DFIR Report） 3. **形成假设**，并根据您的研究映射 ATT&CK 技术 4. **下载生成的日志**并将其摄取到您的 Splunk 实例中 5. **调查**，通过遵循计划 → 执行 → 报告方法论的结构化问题集进行 6. **记录**您的发现并提交以进行 AI 评估 在每次狩猎结束时，会通过一次 Gemini AI 调用来评估您的假设、TTP 映射、所有调查答案以及您的狩猎文档——并返回涵盖各个维度的评分反馈。 ## APT 组织 | 组织 | 归属 | 环境 | 问题数 | |-------|------------|-------------|-----------| | APT29 | 俄罗斯 (SVR) | AWS + Endpoints | 16 | | APT28 | 俄罗斯 (GRU) | Endpoints | 17 | | APT41 | 中国 (MSS) | GCP + Endpoints | 16 | | Lazarus Group | 朝鲜 (DPRK) | AWS + Endpoints | 16 | | UNC3944 | 经济动机 | Azure + Endpoints | 16 | ## 功能 - **真实的日志生成** — CloudTrail、Azure AD、GCP Audit、Sysmon、Windows Event Logs - **结构化调查** — 每个 APT 包含 16-17 个问题，遵循 ThreatHunter Playbook 方法论 - **研究记事本** — 在研究期间捕获 IOC 和笔记，在整个狩猎过程中均可见 - **引导提示** — 每个问题提供可展开的提示，且不会直接透露答案 - **AI 提示系统** — 按需提供方向性提示（每次会话 3 次） - **狩猎文档** — 在整个调查过程中填充的结构化报告模板 - **AI 评估** — 完成后通过一次 Gemini API 调用审查整个狩猎过程 - **导出** — 可用于作品集的 HTML 狩猎报告 - **MISP 集成** — 从本地 MISP 实例中提取相关的威胁情报事件（仅限本地部署） ## 技术栈 - **后端：** Python 3.11、Flask、SQLAlchemy、SQLite - **前端：** HTML/CSS/JS（深色主题） - **AI 引擎：** Google Gemini 2.0 Flash（免费层级 — 每天 1,500 次请求） - **服务器：** Gunicorn ## 本地部署 GHOSTTRACE 旨在与 Splunk 实例一起在本地运行。完整的部署说明可在技术文档中找到。 ### 要求 - Python 3.11+ - Splunk（用于日志摄取和调查） - Google Gemini API key（可在 [aistudio.google.com](https://aistudio.google.com) 免费获取） ### 快速开始 ``` git clone https://github.com/Steven-T24/ghosttrace.git cd ghosttrace python3 -m venv venv source venv/bin/activate pip install -r requirements.txt cp .env.example .env # 编辑 .env 并添加你的 GEMINI_API_KEY python3 run.py ``` 导航至 `http://localhost:5000` ### 环境变量 | 变量 | 描述 | 必填 | |----------|-------------|----------| | `SECRET_KEY` | Flask 会话签名密钥 | 是 | | `GEMINI_API_KEY` | Google AI Studio API key | 是 | | `MISP_URL` | 本地 MISP 实例 URL | 否 | | `MISP_KEY` | MISP 用户 API key | 否 | | `DATABASE_URL` | SQLite 路径 | 是 | | `LOCAL_MODE` | `true` 表示本地，`false` 表示托管 | 是 | | `DAILY_AI_LIMIT` | 每位用户每天的最大 AI 调用次数（默认为 20） | 否 | | `HINTS_PER_SESSION` | 每次狩猎的最大提示次数（默认为 3） | 否 | | `ADMIN_USERNAME` | 管理员账户用户名 | 否 | | `ADMIN_PASSWORD` | 管理员账户密码 | 否 | ## 设计理念 GHOSTTRACE 不会直接将答案提供给分析师。它提供： - 一个真实的场景以及对权威威胁情报的参考 - 反映对手实际技术手段的生成遥测数据 - 在不透露调查结果的情况下引导调查的结构化问题 - 评估推理逻辑质量（而不仅仅是事实准确性）的 AI 评估 分析师必须研究威胁情报、形成自己的假设、调查数据并记录他们的发现——这与真实世界中的威胁狩猎过程如出一辙。 ## DEADFUSE 生态系统的一部分 GHOSTTRACE 是更广泛的家用实验室威胁狩猎和恶意软件分析 pipeline 的一部分，该 pipeline 包括 Splunk、CAPE sandbox、Caldera C2、Arkime 以及 DEADFUSE 静态分析。 ## 免责声明 GHOSTTRACE 生成的合成日志数据仅供培训使用。生成数据集中的所有 IP 地址、域名、主机名和用户名均属虚构。未引用或联系任何真实的威胁行为者基础设施。

标签：AI评估, IP 地址批量处理, SOC分析, 安全培训, 安全运营, 扫描框架, 攻击模拟, 驱动签名利用