josiahdanbinta/SOC-Analyst-Labs-MITRE-ATT-CK-Threat-Hunting
GitHub: josiahdanbinta/SOC-Analyst-Labs-MITRE-ATT-CK-Threat-Hunting
基于 MITRE ATT&CK 框架构建的威胁狩猎实验室,为 SOC 分析师提供从狩猎查询、攻击技术分析、IOC 调查到结构化报告的完整主动防御实践体系。
Stars: 0 | Forks: 0
MITRE ATT&CK 威胁狩猎实验室
概述
本项目展示了使用 MITRE ATT&CK 框架的实用威胁狩猎技术,以识别、调查和分析企业环境中的对手行为。
该实验室专注于主动安全监控、识别攻击者技术、分析入侵指标 (IOC),以及开发 SOC 分析师使用的威胁狩猎方法论。
🎯 目标
- 执行主动威胁狩猎活动
- 将攻击者行为映射到 MITRE ATT&CK 技术
- 分析安全事件和可疑活动
- 开发狩猎查询
- 记录调查结果
- 提升检测能力
📂 项目结构
MITRE-ATT&CK-Threat-Hunting
├── Hunting-Queries
├── Attack-Techniques
├── IOC-Analysis
└── Reports
1. 狩猎查询
文件夹:
Hunting-Queries
描述
旨在识别端点、网络和日志中可疑活动的安全查询集合。
查询类别
身份验证狩猎
检测:
- 失败的身份验证尝试
- 可疑的登录模式
- 异常的账户活动
进程狩猎
检测:
- 可疑进程
- 命令执行活动
- 异常的父子进程关系
网络狩猎
检测:
- 可疑连接
- 异常的通信模式
- 潜在的命令与控制活动
2. 攻击技术
文件夹:
Attack-Techniques
描述
映射到 MITRE ATT&CK 框架的对手技术分析。
涵盖技术
初始访问
示例:
- 钓鱼
- 利用公共应用
执行
示例:
- 命令和脚本解释器
- PowerShell 执行
持久化
示例:
- 计划任务
- 注册表修改
权限提升
示例:
- 账户操纵
- 过多权限
凭证访问
示例:
- 凭证发现
- 身份验证攻击
3. IOC 分析
文件夹:
IOC-Analysis
描述
对威胁狩猎活动中使用的入侵指标进行调查。
IOC 类型
- 文件哈希
- IP 地址
- 域名
- URL
- 注册表痕迹
- 进程指标
分析流程
1. 收集指标
2. 验证威胁情报
3. 分析相关活动
4. 确定风险等级
5. 记录结果
4. 报告
文件夹:
Reports
描述
记录调查结果和建议的威胁狩猎调查报告。
报告结构
每份报告包含:
- 调查目标
- 数据源
- 狩猎方法论
- 调查发现
- MITRE ATT&CK 映射
- 风险评估
- 建议
🔍 威胁狩猎工作流
威胁情报
|
↓
假设创建
|
↓
数据收集
|
↓
查询开发
|
↓
调查
|
↓
检测改进
🛠️ 工具与框架
- MITRE ATT&CK
- Wazuh
- SIEM 平台
- Sysmon
- Windows 事件日志
- Wireshark
- Python
- 威胁情报平台
🧠 展示技能
✅ 威胁狩猎
✅ MITRE ATT&CK 框架
✅ 安全调查
✅ IOC 分析
✅ 检测改进
✅ SOC 运营
📌 作者
Josiah Danbinta
网络安全分析师 | 威胁猎人
GitHub:
https://github.com/josiahdanbinta
标签:Cloudflare, MITRE ATT&CK, PB级数据处理, SOC分析, 子域枚举, 安全运维, 逆向工具