josiahdanbinta/SOC-Analyst-Labs-MITRE-ATT-CK-Threat-Hunting

GitHub: josiahdanbinta/SOC-Analyst-Labs-MITRE-ATT-CK-Threat-Hunting

基于 MITRE ATT&CK 框架构建的威胁狩猎实验室,为 SOC 分析师提供从狩猎查询、攻击技术分析、IOC 调查到结构化报告的完整主动防御实践体系。

Stars: 0 | Forks: 0

MITRE ATT&CK 威胁狩猎实验室 概述 本项目展示了使用 MITRE ATT&CK 框架的实用威胁狩猎技术,以识别、调查和分析企业环境中的对手行为。 该实验室专注于主动安全监控、识别攻击者技术、分析入侵指标 (IOC),以及开发 SOC 分析师使用的威胁狩猎方法论。 🎯 目标 - 执行主动威胁狩猎活动 - 将攻击者行为映射到 MITRE ATT&CK 技术 - 分析安全事件和可疑活动 - 开发狩猎查询 - 记录调查结果 - 提升检测能力 📂 项目结构 MITRE-ATT&CK-Threat-Hunting ├── Hunting-Queries ├── Attack-Techniques ├── IOC-Analysis └── Reports 1. 狩猎查询 文件夹: Hunting-Queries 描述 旨在识别端点、网络和日志中可疑活动的安全查询集合。 查询类别 身份验证狩猎 检测: - 失败的身份验证尝试 - 可疑的登录模式 - 异常的账户活动 进程狩猎 检测: - 可疑进程 - 命令执行活动 - 异常的父子进程关系 网络狩猎 检测: - 可疑连接 - 异常的通信模式 - 潜在的命令与控制活动 2. 攻击技术 文件夹: Attack-Techniques 描述 映射到 MITRE ATT&CK 框架的对手技术分析。 涵盖技术 初始访问 示例: - 钓鱼 - 利用公共应用 执行 示例: - 命令和脚本解释器 - PowerShell 执行 持久化 示例: - 计划任务 - 注册表修改 权限提升 示例: - 账户操纵 - 过多权限 凭证访问 示例: - 凭证发现 - 身份验证攻击 3. IOC 分析 文件夹: IOC-Analysis 描述 对威胁狩猎活动中使用的入侵指标进行调查。 IOC 类型 - 文件哈希 - IP 地址 - 域名 - URL - 注册表痕迹 - 进程指标 分析流程 1. 收集指标 2. 验证威胁情报 3. 分析相关活动 4. 确定风险等级 5. 记录结果 4. 报告 文件夹: Reports 描述 记录调查结果和建议的威胁狩猎调查报告。 报告结构 每份报告包含: - 调查目标 - 数据源 - 狩猎方法论 - 调查发现 - MITRE ATT&CK 映射 - 风险评估 - 建议 🔍 威胁狩猎工作流 威胁情报 | ↓ 假设创建 | ↓ 数据收集 | ↓ 查询开发 | ↓ 调查 | ↓ 检测改进 🛠️ 工具与框架 - MITRE ATT&CK - Wazuh - SIEM 平台 - Sysmon - Windows 事件日志 - Wireshark - Python - 威胁情报平台 🧠 展示技能 ✅ 威胁狩猎 ✅ MITRE ATT&CK 框架 ✅ 安全调查 ✅ IOC 分析 ✅ 检测改进 ✅ SOC 运营 📌 作者 Josiah Danbinta 网络安全分析师 | 威胁猎人 GitHub: https://github.com/josiahdanbinta
标签:Cloudflare, MITRE ATT&CK, PB级数据处理, SOC分析, 子域枚举, 安全运维, 逆向工具