thabosakonta-wq/mitre-attack-detection-mapping-lab

MITRE ATT&CK 检测映射实验室 这是一个实用的网络安全项目，演示了如何将安全检测和威胁狩猎的发现映射到 MITRE ATT&CK 框架中。 概述 该项目通过将安全事件、检测结果和调查发现映射到 MITRE ATT&CK 战术和技术，模拟了安全运营中心 (SOC) 分析师的日常活动。 该实验室演示了分析人员如何利用 ATT&CK 来对威胁进行分类、理解攻击者行为、确定调查优先级以及提升检测覆盖率。 目标 - 理解 MITRE ATT&CK 框架 - 将安全事件映射到 ATT&CK 技术 - 提升威胁检测可见性 - 支持威胁狩猎调查 - 实践 SOC 分析师工作流 - 使用业界公认的框架记录安全发现 功能 检测映射 将常见的安全检测映射到 ATT&CK 技术，包括： - 登录失败检测 - 暴力破解检测 - 可疑 IP 活动 - 权限提升活动 调查报告 记录调查发现、受影响的资产、风险等级以及建议的修复措施。 威胁分类 利用 ATT&CK 技术对可疑活动进行分类，并支持安全事件调查。 涵盖的 MITRE ATT&CK 技术 技术 ID| 技术 T1110| 暴力破解 T1110.001| 密码猜测 T1078| 有效账户 T1068| 利用漏洞进行权限提升 项目结构 MITRE-Mapping-Lab/ ├── detections/ ├── mappings/ │ └── mitre_mapping.md ├── reports/ │ └── mitre_investigation_report.txt ├── screenshots/ └── README.md 检测映射示例 登录失败检测 检测： 频繁的 SSH 身份验证失败。 MITRE ATT&CK： - T1110 – 暴力破解 严重程度： 中 暴力破解检测 检测： 来自单一 IP 地址的多次登录失败尝试。 MITRE ATT&CK： - T1110.001 – 密码猜测 严重程度： 高 可疑 IP 检测 检测： 在身份验证日志中发现已知的恶意 IP。 MITRE ATT&CK： - T1078 – 有效账户 严重程度： 高 权限提升检测 检测： 创建新的特权账户并执行提权命令。 MITRE ATT&CK： - T1068 – 利用漏洞进行权限提升 严重程度： 高 展示的技能 - 威胁狩猎 - MITRE ATT&CK 映射 - 安全监控 - 威胁检测 - 安全事件调查 - 日志分析 - 安全文档编写 - 网络安全报告 使用的技术 - Linux - Termux - Bash - Git - GitHub - MITRE ATT&CK 框架 学习成果 该项目有助于培养对以下内容的实际理解： - ATT&CK 战术与技术 - 检测工程概念 - 威胁分类 - 事件响应流程 - SOC 运营 - 安全调查 未来增强计划 - 创建 ATT&CK Navigator 层 - Sigma 规则映射 - Wazuh 检测集成 - Sysmon 事件关联 - 威胁情报丰富 - 自动化 ATT&CK 报告 作者 Thabo Sakonta 微软认证安全运营分析师 (SC-200) GitHub： https://github.com/thabosakonta-wq LinkedIn： https://www.linkedin.com/in/thabo-sakonta-377a3748 许可证 本项目仅供教育和个人作品集展示使用。

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, SOC分析, Web报告查看器, 威胁检测, 安全运营, 应用安全, 扫描框架, 网络安全, 网络安全研究, 隐私保护