wahidhendrawan/GolekThreat
GitHub: wahidhendrawan/GolekThreat
一款威胁狩猎管理控制台,用于构建可复用的 playbook、追踪狩猎证据与 ATT&CK 覆盖率并生成分析师报告。
Stars: 0 | Forks: 0
# GolekThreat
GolekThreat 是一个威胁狩猎管理控制台,用于构建狩猎 playbook,将它们映射到 MITRE ATT&CK,运行可重复的狩猎会话,追踪证据,并生成可直接供分析师使用的 Markdown 报告。
这个名字结合了 **Golek**(爪哇语/印尼语中意为“搜索”)与威胁狩猎。
## 功能
- 管理威胁狩猎 playbook,包含假设、严重程度、数据源、预期证据、误报、响应指导、步骤和入门查询。
- 使用从官方 ATT&CK STIX 数据生成的目录,将 playbook 映射到 MITRE ATT&CK Enterprise 技术。
- 将狩猎会话作为类似任务的工作项运行,包含状态、分析师、范围、进度、步骤说明和证据日志。
- 添加、编辑和删除与狩猎会话相关的证据。
- 跨 playbook 库追踪 ATT&CK 覆盖率。
- 生成用于分析师交接的 Markdown 报告。
- 作为 Docker Compose stack 运行,集成 React、FastAPI、Nginx 和 PostgreSQL。
## 界面
- **Playbook 管理**:创建、编辑、删除和映射狩猎 playbook。
- **狩猎任务**:从 playbook 启动狩猎,并管理运行中/已完成/已归档的会话。
- **证据日志**:记录发现、artifacts 和分析师的判断。
- **ATT&CK 覆盖率**:审查狩猎库所涵盖的技术。
## 架构
```
Browser
-> frontend: React + Vite served by Nginx
-> /api proxy: Nginx forwards API requests
-> api: FastAPI + SQLAlchemy
-> postgres: PostgreSQL 16
```
有关更多详细信息,请参阅 [docs/architecture.md](docs/architecture.md)。
## 快速开始
```
cp .env.example .env
docker compose up --build
```
打开:
- Web UI:http://localhost:3000
- API 文档:http://localhost:8000/docs
- 通过前端代理的 API 健康检查:http://localhost:3000/api/health
当数据库为空时,API 会自动植入示例 playbook。
## 配置
环境变量记录在 [.env.example](.env.example) 中。
默认端口:
- 前端:`3000`
- API:`8000`
- PostgreSQL 主机端口:`5433`
前端在 Docker 中使用同源 `/api` 代理,因此它可以从 `localhost`、局域网 IP 和远程浏览器会话中直接访问,而无需为每个主机重新构建。
## 开发
后端:
```
cd backend
python -m venv .venv
. .venv/bin/activate
pip install -e ".[dev]"
uvicorn golekthreat.main:app --reload
```
前端:
```
cd frontend
npm install
npm run dev
```
测试和构建检查:
```
cd backend
pytest
cd ../frontend
npm run build
```
## MITRE ATT&CK 目录
前端 MITRE 目录是根据官方 MITRE ATT&CK Enterprise STIX 数据生成的。生成的文件已提交到代码库中,因此应用程序可以离线工作,并且在构建时无需下载 ATT&CK 数据。
使用以下命令重新生成它:
```
python scripts/generate_mitre_catalog.py
```
来源:https://github.com/mitre-attack/attack-stix-data
## 核心数据模型
- `playbooks`:狩猎假设、严重程度、ATT&CK 映射、数据源、预期证据、误报、响应建议。
- `playbook_steps`:有序的调查步骤。
- `playbook_queries`:Sigma、KQL、SPL、EQL、Wazuh 或其他查询启动器。
- `hunt_sessions`:从 playbook 创建的执行实例。
- `session_steps`:每个步骤的执行状态和分析师说明。
- `evidence_items`:与会话相关的证据记录和 artifact 引用。
## 路线图
- 用户身份验证和 RBAC。
- 以 YAML 格式导入/导出 playbook。
- 组织/工作区支持。
- 将报告导出为 HTML/PDF。
- 检测规则附件和验证工作流。
- 与 SIEM/EDR 查询 API 集成。
## 安全
有关漏洞报告的指南,请参阅 [SECURITY.md](SECURITY.md)。
## 许可证
本项目基于 [GNU General Public License v3.0](LICENSE) 授权。
标签:AV绕过, Cloudflare, Docker Compose, FastAPI, MITRE ATT&CK, React, Syscalls, 安全运营, 扫描框架, 测试用例, 自动化攻击, 请求拦截, 逆向工具