Abhayparashar31/KRAB

**KRAB（Knowledge & Relational Adversary Brain）** 是一个强大、模块化、基于 Obsidian 的威胁情报平台。它旨在弥合原始 MITRE ATT&CK 数据与内部运营情报之间的差距，在 Threat Actors、Campaigns、Malware、Vulnerabilities 和 TTPs 之间提供实时的、双向的关联。 ## 核心理念 如果没有适当的上下文，管理 600 多个 TTPs 是一项令人头疼的任务。KRAB 通过将你的笔记转化为**图数据库** 来解决这个问题。通过使用轻量级关联自动化，KRAB 让你能够准确可视化哪些技术正被特定的对手“实际应用”，从而使你能够从**理论风险** 转向**基于证据的威胁狩猎**。 ## 核心功能 * **自动化双向关联：** 一个基于 Templater 的自定义引擎，可在你的 MITRE 笔记中静默嵌入元数据标记和情报追踪行。 * **运营情报矩阵：** 动态、实时的仪表板，可计算整个数据集中 TTPs 的“总复用率”。 * **漏洞映射：** 将高 CVSS 漏洞直接与利用它们的威胁参与者所使用的 TTPs 连接起来。 * **智能缺口分析：** 针对“冷情报” 的内置警报——即你已经抓取但尚未映射到活跃威胁的数据。 * **检测工程支持：** 自动识别具有“高”检测难度和“低”当前覆盖率的技术，将你的工程精力集中在最关键的地方。 ## 工作流与使用 ### 1. 安装与设置 1. **插件：** 确保已启用 **Dataview** 和 **Templater** 社区插件。 2. **文件夹结构：** 创建以下目录结构： - `01_Threat_Actor/` - `02_TTPs/` - `03_Campaigns/` - `04_Malware/` - `05_Vulnerabilities/` - `07_Collections/` 3. **模板导入：** 将 `KRAB Correlation Engine` 脚本复制到你的 Obsidian Templater 文件夹中，并为其分配一个便捷的快捷键或将其添加到你的命令面板中。 ### 2. 运营循环 该工作流的设计旨在实现无缝衔接： 1. **情报收集：** 为新的 Threat Actor、Campaign 或 Malware 家族创建一个笔记。 2. **链接：** 使用标准的 wikilinks 来引用 TTPs，例如 `[[T1190 - Exploit Public-Facing Application]]`。 3. **关联引擎：** 运行 **KRAB Correlation Engine** 脚本。 - *结果：* 引擎会扫描你的笔记，在后台打开目标 TTP 笔记，并在 TTP 笔记的底部注入一个整洁的 `🔗 KRAB Intelligence Correlation` 部分。 - *元数据：* 它会添加一个内联键（例如 `[related_actor:: [[ActorName]]]`），你的仪表板会使用它来进行计算。 ### 3. 仪表板集成 该仪表板依赖于 Dataview 来汇总你的发现。运行关联脚本后，仪表板上的 **Prevalence Matrix** 会立即更新，显示你所追踪的对手中最“热门”的技术。 ## 仪表板架构 KRAB 仪表板分为战术和战略视图： * **威胁全景：** 高级别的归因和活动追踪。 * **ATT&CK Prevalence Matrix：** 一个动态表格，用于计算不同领域中 TTP 复用的总数。 * **漏洞利用情报：** 将漏洞 映射到利用它们的 TTPs 和 actors。 * **检测与狩猎：** 专注于突出显示“检测盲区” 和“狩猎机会” 的运营视图。 ## 路线图与贡献 KRAB 项目旨在随着你的威胁态势不断演进。 * **即将推出的功能：** 图表可视化增强、用于实时威胁源的 API 集成，以及针对特定 TTPs 的“风险画像” 自动评分。 * **反馈：** 非常鼓励对工作流做出贡献或为仪表板提供新的查询想法。 *专为主动式威胁狩猎者打造。集中你的情报，优化你的防御，并掌控威胁态势。*

标签：ATT&CK框架, Obsidian插件, 威胁情报, 安全运营, 开发者工具, 扫描框架, 防御加固