jithesh28/Threat_Hunting
GitHub: jithesh28/Threat_Hunting
一款基于本地 LLM 的 AI 威胁狩猎假设生成器,通过聚合 RSS 威胁情报并结合组织上下文,自动为安全团队生成可执行的狩猎方案和检测查询。
Stars: 0 | Forks: 0
# AI 威胁狩猎假设生成器
一个本地 AI 驱动的威胁狩猎假设生成器,可将网络安全情报转化为可执行的狩猎场景。
该平台使用**本地大型语言模型 (LLM)**、RSS 威胁情报源、单篇文章分析和组织上下文,帮助 SOC 分析师、应急响应人员和检测工程师生成高质量的威胁狩猎假设。
## 概述
安全团队每天都会从安全公告、博客和漏洞源接收数以千计的威胁情报更新。
手动将这些情报转化为可执行的狩猎需要:
- 了解攻击者行为
- 将威胁映射到 MITRE ATT&CK
- 识别受影响的技术
- 创建检测逻辑
- 根据组织上下文确定优先级
本项目使用**本地 AI 模型**自动化该工作流程。
# 架构
# 功能
## 威胁情报源管理
添加和管理网络安全 RSS 源。
支持:
- 添加自定义 RSS 源
- 启用源
- 禁用源
- 删除源
- 测试 RSS 可用性
- 持久化存储
示例来源:
- CISA 公告
- 安全供应商研究
- 漏洞源
- 威胁情报博客
## 组织上下文感知
使用以下内容生成有针对性的假设:
### 行业 / 领域
示例:
- BFSI
- 医疗保健
- 政府
- 技术
- 制造业
- 能源
- 零售
### 技术栈
示例:
- Microsoft 365
- Active Directory
- Azure
- AWS
- Kubernetes
- Fortinet
- CrowdStrike
- Sentinel
- Splunk
支持:
- 添加自定义技术
- 删除自定义技术
- 持久化自定义技术栈
### 地理上下文
示例:
- 全球
- 印度
- 美国
- 欧洲
- 中东
- APAC
# 威胁日期过滤
根据威胁发布时间生成狩猎。
支持:
- 今天
- 昨天
- 自定义日期范围
- 任意日期
示例:
```
Find threats affecting:
Sector:
BFSI
Location:
India
Technology:
Microsoft 365
Date:
Last 7 days
```
# AI 生成输出
AI 生成:
## 执行摘要
高层级威胁概述。
## 威胁狩猎假设
示例:
```
Adversaries may attempt credential theft against
Microsoft 365 environments using phishing campaigns
observed in recent threat intelligence reports.
```
## MITRE ATT&CK 映射
示例:
| 技术 | 描述 |
|-|-|
| T1566 | Phishing |
| T1078 | Valid Accounts |
| T1059 | Command Execution |
## 狩猎步骤
示例:
```
1. Review suspicious authentication events
2. Identify impossible travel activity
3. Analyze suspicious inbox rules
4. Review OAuth application permissions
```
## 检测查询
生成:
- Microsoft Sentinel KQL
- Splunk SPL
- Sigma 检测逻辑
示例:
```
SigninLogs
| where ResultType != 0
| summarize count() by UserPrincipalName, IPAddress
```
## 所需日志源
示例:
- 身份日志
- 防火墙日志
- EDR 遥测数据
- 电子邮件安全日志
- 代理日志
# 技术栈
## 前端
- React
- JavaScript
- CSS
## 后端
- Python
- FastAPI
## AI 引擎
- Ollama
- Qwen 本地 LLM
## 存储
- Docker 持久化卷
- 基于 JSON 的本地存储
## 容器化
- Docker
- Docker Compose
# 部署
## 要求
安装:
- Docker
- Docker Compose
克隆仓库:
```
git clone
cd Threat-Hunting-AI
```
启动应用:
```
docker compose up -d --build
```
检查容器:
```
docker ps
```
预期结果:
```
threat-hunting-ui
threat-hunting-backend
threat-hunting-ollama
```
# 访问应用
前端:
```
http://localhost:5173
```
后端 API:
```
http://localhost:18000/docs
```
Ollama API:
```
http://localhost:21434
```
# 本地 LLM 模型
默认:
```
qwen2.5:7b
```
手动拉取:
```
docker exec -it threat-hunting-ollama \
ollama pull qwen2.5:7b
```
验证:
```
docker exec -it threat-hunting-ollama \
ollama list
```
# 持久化数据
以下数据在容器重启后依然保留:
RSS 源
自定义技术栈
LLM 模型文件
使用 Docker 卷存储:
```
backend_data
ollama_models
```
删除所有保存的数据:
```
docker compose down -v
```
# 示例工作流程
1. 添加 RSS 威胁源
2. 选择组织所属行业
3. 选择技术栈
4. 选择威胁日期范围
5. 生成假设
6. 审查 MITRE 映射
7. 导出狩猎报告
# 应用场景
## SOC 团队
根据新威胁创建日常狩猎活动。
## 威胁情报团队
将情报报告转化为检测思路。
## 应急响应团队
准备主动调查。
## 安全工程师
创建检测工程待办事项。
# 路线图
计划改进:
- CVE 富化
- MITRE ATT&CK API 集成
- 向量数据库支持
- 威胁行为者画像
- IOC 提取
- STIX/TAXII 支持
- PDF 报告生成
- 身份验证
- 多用户支持
- 企业仪表板
# 免责声明
本工具提供 AI 辅助的威胁狩猎建议。
生成的假设在生产环境使用前,应始终由安全分析师进行审查和验证。
# 许可证
开源 - 社区版
# 作者
作为一个网络安全研究项目开发,重点关注:
- 威胁情报自动化
- AI 辅助安全运营
- 检测工程
- SOC 自动化
# 功能
## 威胁情报源管理
添加和管理网络安全 RSS 源。
支持:
- 添加自定义 RSS 源
- 启用源
- 禁用源
- 删除源
- 测试 RSS 可用性
- 持久化存储
示例来源:
- CISA 公告
- 安全供应商研究
- 漏洞源
- 威胁情报博客
## 组织上下文感知
使用以下内容生成有针对性的假设:
### 行业 / 领域
示例:
- BFSI
- 医疗保健
- 政府
- 技术
- 制造业
- 能源
- 零售
### 技术栈
示例:
- Microsoft 365
- Active Directory
- Azure
- AWS
- Kubernetes
- Fortinet
- CrowdStrike
- Sentinel
- Splunk
支持:
- 添加自定义技术
- 删除自定义技术
- 持久化自定义技术栈
### 地理上下文
示例:
- 全球
- 印度
- 美国
- 欧洲
- 中东
- APAC
# 威胁日期过滤
根据威胁发布时间生成狩猎。
支持:
- 今天
- 昨天
- 自定义日期范围
- 任意日期
示例:
```
Find threats affecting:
Sector:
BFSI
Location:
India
Technology:
Microsoft 365
Date:
Last 7 days
```
# AI 生成输出
AI 生成:
## 执行摘要
高层级威胁概述。
## 威胁狩猎假设
示例:
```
Adversaries may attempt credential theft against
Microsoft 365 environments using phishing campaigns
observed in recent threat intelligence reports.
```
## MITRE ATT&CK 映射
示例:
| 技术 | 描述 |
|-|-|
| T1566 | Phishing |
| T1078 | Valid Accounts |
| T1059 | Command Execution |
## 狩猎步骤
示例:
```
1. Review suspicious authentication events
2. Identify impossible travel activity
3. Analyze suspicious inbox rules
4. Review OAuth application permissions
```
## 检测查询
生成:
- Microsoft Sentinel KQL
- Splunk SPL
- Sigma 检测逻辑
示例:
```
SigninLogs
| where ResultType != 0
| summarize count() by UserPrincipalName, IPAddress
```
## 所需日志源
示例:
- 身份日志
- 防火墙日志
- EDR 遥测数据
- 电子邮件安全日志
- 代理日志
# 技术栈
## 前端
- React
- JavaScript
- CSS
## 后端
- Python
- FastAPI
## AI 引擎
- Ollama
- Qwen 本地 LLM
## 存储
- Docker 持久化卷
- 基于 JSON 的本地存储
## 容器化
- Docker
- Docker Compose
# 部署
## 要求
安装:
- Docker
- Docker Compose
克隆仓库:
```
git clone 标签:AI辅助, AI风险缓解, DLL 劫持, 大语言模型, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据可视化, 版权保护, 自定义脚本, 请求拦截, 逆向工具