dadadolapo31-ui/Threat-Hunting-MITRE-ATT-CK-main

# 使用 MITRE ATT&CK 框架进行威胁狩猎 ## 项目概述 本项目探索了一种使用 MITRE ATT&CK 框架的威胁狩猎方法，通过对手的战术、技术和程序 (TTPs) 来分析其行为。 在本项目中，以美国金融部门为案例，研究高级持续性威胁 (APT) 组织，并分析其已知使用的技术。 目标是了解如何收集、分析威胁情报并将其映射到 MITRE ATT&CK 框架，从而支持威胁狩猎和检测工程活动。 #### 展示的技能 - 威胁情报分析 - MITRE ATT&CK 框架 - 威胁行为者 TTP 分析 - MITRE ATT&CK Navigator - 威胁狩猎方法论 - 检测工程概念 ## 理解 MITRE ATT&CK 框架 MITRE ATT&CK 框架是一个记录对手在网络攻击期间行为方式的知识库。 它通过三个重要概念来组织对手行为： #### 战术 战术代表攻击者在入侵期间试图实现的高级目标。该框架目前在攻击生命周期中定义了 14 项战术。 #### 技术 技术描述了攻击者如何实现这些目标。 #### 程序 程序是威胁行为者用来执行这些技术的具体实施方式。  这些概念共同构成了在威胁情报和威胁狩猎中广泛使用的 TTPs（战术、技术和程序）概念。 ## 威胁狩猎工作流  ## 威胁情报收集 使用 SOC Radar 收集威胁情报，研究与该地区（美国）该行业（金融）相关的 APT 组织。 尽管 APT 组织通常在多个行业和地理区域开展活动，但本项目将范围缩小到美国金融部门作为案例研究，以演示如何进行威胁情报研究和 TTP 分析。  #### 有关已识别威胁行为者的额外信息收集自： - SOC Radar 威胁情报报告 - MITRE ATT&CK 威胁行为者档案 - 公开记录的对手技术 ## 使用 MITRE ATT&CK 进行 TTP 研究 一旦识别出相关的 APT 组织，就使用 MITRE ATT&CK 网站对其记录在案的 TTP 进行分析。 此步骤允许检查每个威胁组织使用的技术与攻击生命周期的关系，从而深入了解对手在真实攻击中的运作方式。  ## 使用 MITRE ATT&CK Navigator 映射技术 随后，使用 MITRE ATT&CK Navigator 对识别出的技术进行映射。 MITRE Navigator 提供了一种可视化的方式来： - 映射对手技术 - 分析攻击者行为 - 比较多个威胁行为者 每个威胁组织在 Navigator 中都被映射为单独的层。  ## 叠加多个威胁组织 在 MITRE Navigator 矩阵中，将多个 APT 组织作为层添加进去。 这使得分析人员能够比较不同的威胁行为者，并观察它们的技术是如何相互关联的。 将对手分层叠加可以更容易地识别不同威胁组织间的行为模式。  ## 识别 TTP 重叠 通过对多个对手进行分层叠加，可以识别出重叠的技术。 这些重叠的技术通常代表了常见的攻击者行为，这对防守方极具价值，因为检测到这些行为有助于识别多个威胁行为者。  ## 情报报告 映射后的技术被导出到电子表格报告中，以整理研究结果。 该报告记录了： - 被分析的 APT 组织 - 其相关的技术 - 在不同对手间观察到的重叠技术  ## 支持检测工程 安全团队和紫队可以使用最终报告来制定检测策略，例如： - SIEM 检测规则 - 威胁狩猎查询 - 基于 ATT&CK 技术的行为告警 了解对手技术使安全团队能够设计与真实攻击者行为相一致的防御措施。 作者 Dolapo Dada 网络安全 | 威胁狩猎 | 安全运营

标签：Cloudflare, MITRE ATT&CK, 威胁情报, 开发者工具, 网络安全, 隐私保护