Nutrisocialpm/threat-hunting-dac
GitHub: Nutrisocialpm/threat-hunting-dac
基于 Detection-as-Code 方法论的威胁狩猎用例管理代码库,用于版本化管理 SIEM 查询、Sigma 规则及技术文档,标准化检测规则的创建、审查与跨平台复用流程。
Stars: 0 | Forks: 0
# Threat Hunting Detection-as-Code
用于版本化管理 Threat Hunting 用例、SIEM 查询、Sigma 规则、技术文档和脱敏证据的代码库。
## 目标
通过 Detection-as-Code / Hunting-as-Code 方法,标准化 Threat Hunting 用例的创建、维护、审查和重用。
## 结构
- `core/`:用例、基础逻辑、MITRE、OWASP 和 FIRST 映射。
- `adapters/`:各 SIEM 平台的技术实现。
- `clients/`:针对特定客户的配置。
- `governance/`:变更控制、审批和审查规则。
- `templates/`:可重用的模板。
- `tests/`:验证和脱敏结果。
- `docs/`:方法论和架构。
- `reports/`:内部或面向客户的报告。
## 原则
1. 每个用例都必须具有唯一的 ID。
2. 每个查询都必须有版本控制。
3. 每项变更都必须记录在 Git 中。
4. 严禁上传敏感数据。
5. MITRE ATT&CK 是主要的分类框架。
6. OWASP 用于 Web、API 或 WAF 用例。
7. FIRST 作为 CSIRT/SOC 的操作参考。
8. Sigma 在适用时用作可移植的格式。
9. 原生查询按平台进行维护。
标签:Sigma规则, 子域枚举, 安全运营, 扫描框架, 检测即代码, 目标导入, 网络安全研究