Nutrisocialpm/threat-hunting-dac

GitHub: Nutrisocialpm/threat-hunting-dac

基于 Detection-as-Code 方法论的威胁狩猎用例管理代码库,用于版本化管理 SIEM 查询、Sigma 规则及技术文档,标准化检测规则的创建、审查与跨平台复用流程。

Stars: 0 | Forks: 0

# Threat Hunting Detection-as-Code 用于版本化管理 Threat Hunting 用例、SIEM 查询、Sigma 规则、技术文档和脱敏证据的代码库。 ## 目标 通过 Detection-as-Code / Hunting-as-Code 方法,标准化 Threat Hunting 用例的创建、维护、审查和重用。 ## 结构 - `core/`:用例、基础逻辑、MITRE、OWASP 和 FIRST 映射。 - `adapters/`:各 SIEM 平台的技术实现。 - `clients/`:针对特定客户的配置。 - `governance/`:变更控制、审批和审查规则。 - `templates/`:可重用的模板。 - `tests/`:验证和脱敏结果。 - `docs/`:方法论和架构。 - `reports/`:内部或面向客户的报告。 ## 原则 1. 每个用例都必须具有唯一的 ID。 2. 每个查询都必须有版本控制。 3. 每项变更都必须记录在 Git 中。 4. 严禁上传敏感数据。 5. MITRE ATT&CK 是主要的分类框架。 6. OWASP 用于 Web、API 或 WAF 用例。 7. FIRST 作为 CSIRT/SOC 的操作参考。 8. Sigma 在适用时用作可移植的格式。 9. 原生查询按平台进行维护。
标签:Sigma规则, 子域枚举, 安全运营, 扫描框架, 检测即代码, 目标导入, 网络安全研究