ennduka86-spec/Threat-Hunting-Toolkit-

GitHub: ennduka86-spec/Threat-Hunting-Toolkit-

一套与 MITRE ATT&CK 对齐的威胁狩猎脚本、检测查询和调查 playbook 集合，帮助 SOC 团队实现跨 SIEM、EDR 和云平台的主动安全调查。

Stars: 1 | Forks: 0

# Threat-Hunting-Toolkit ![Python](https://img.shields.io/badge/Python-3.10%2B-blue?logo=python) ![PowerShell](https://img.shields.io/badge/PowerShell-5.1-lightblue?logo=powershell) ![Bash](https://img.shields.io/badge/Bash-4.4-green?logo=gnu-bash) ![Splunk](https://img.shields.io/badge/Splunk-SPL-orange?logo=splunk) ![Elastic](https://img.shields.io/badge/Elastic-KQL-yellow?logo=elastic) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?logo=mitre) ![CI/CD](https://img.shields.io/badge/CI%2FCD-GitHub_Actions-blue?logo=githubactions) ![CI/CD](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/120da7cb8b165513.svg) ![License](https://img.shields.io/github/license/ennduka86-spec/Threat-Hunting-Toolkit-/) ## 概述 Threat-Hunting-Toolkit 是一个与 MITRE ATT&CK 对齐的脚本、检测查询、数据集和 playbook 集合，专为 SOC 分析师和网络安全专业人员设计。它展示了跨 **Windows 事件日志、Linux SSH 日志、Splunk SPL 和 Elastic KQL** 的实用威胁狩猎工作流。 ## 📂 仓库结构 ``` Threat-Hunting-Toolkit/ ├── scripts/ # Automation scripts │ ├── hunt_parser.py │ ├── win_event_hunt.ps1 │ └── ssh_hunt.sh ├── queries/ # Detection queries │ ├── splunk_hunts.spl │ └── elastic_hunts.kql ├── playbooks/ # Threat hunting playbooks │ ├── suspicious_logon.md │ ├── persistence_hunt.md │ ├── phishing_hunt.md │ └── cloud_iam_hunt.md ├── datasets/ # Sample datasets │ ├── sample_events.json │ └── sample_events_v2.json ├── tests/ # Unit tests │ └── test_hunt_parser.py ├── README.md └── LICENSE ``` ## ⚙️ 安装克隆仓库并设置依赖项： ``` git clone https://github.com/ennduka86-spec/Threat-Hunting-Toolkit-.git cd Threat-Hunting-Toolkit- pip install -r requirements.txt ``` ## ✨ 功能 - 跨平台脚本 - 检测查询 - Playbook - 样本数据集 - 单元测试 ## 🔄 工作流 - 收集日志 → Windows、SSH、云、电子邮件 - 解析事件 → Python、PowerShell、Bash 脚本 - 映射到 MITRE ATT&CK 技术 - 运行检测查询（Splunk SPL / Elastic KQL） - 使用 playbook 进行调查 - 响应与记录 ## 🔮 未来工作 - 添加用于恶意软件狩猎的 YARA 规则 - 扩展云 playbook（GCP、Kubernetes） - 集成 CI/CD 流水线以实现自动化狩猎 - 添加 Splunk/Elastic 仪表板 ## 🛡️ MITRE ATT&CK 覆盖范围 - T1110 – 暴力破解 - T1078 – 有效账户 - T1059 – 命令执行 - T1547 – 持久化 - T1566 – 钓鱼 - T1098 – 账户操纵 - T1087 – 账户发现 ## 🙏 致谢 - MITRE ATT&CK（用于技术映射） - Splunk 和 Elastic（用于查询框架） - Sysmon 和 Windows 事件日志（用于遥测源） - 社区 SOC 分析师（提供灵感和最佳实践） ``` ## 📂 文本图表 (ASCII Box Style) +-------------------+ +-------------------+ +-------------------+ | Log Sources | -----> | Hunt Scripts | -----> | MITRE ATT&CK Map | | (Windows, SSH, | | (Python, PS, Bash)| | Techniques | | Cloud, Email) | +-------------------+ +-------------------+ +-------------------+ | | v v +-------------------+ +-------------------+ | Detection Queries | -----> | Playbooks | | (Splunk, Elastic) | | Investigation | +-------------------+ +-------------------+ | v +-------------------+ | Response Actions | | (Quarantine, MFA, | | Reset, Revoke) | +-------------------+ ``` ## 📦 架构图（Mermaid） ``` flowchart TD A[Logs: Windows, SSH, Cloud, Email] --> B[Scripts: Parser + Hunts] B --> C[MITRE ATT&CK Mapping] C --> D[Detection Queries: Splunk + Elastic] D --> E[Playbooks: Investigation Steps] E --> F[Response Actions: Quarantine, Reset, Revoke] ``` ## 📌 许可证本项目基于 MIT 许可证授权 — 详情请参阅 [LICENSE](LICENSE) 文件。

标签：AI合规, Cloudflare, MITRE ATT&CK, 安全运营中心, 应用安全, 数字取证, 检测规则, 网络安全, 网络映射, 网络资产发现, 自动化脚本, 逆向工具, 隐私保护