Ronitsharma13/threat-hunting-playbook

GitHub: Ronitsharma13/threat-hunting-playbook

该项目将威胁狩猎假设、证据与 ATT&CK 映射编码为可执行的 playbook,通过自动化分析演示日志生成结构化狩猎报告。

Stars: 0 | Forks: 0

# 威胁狩猎 Playbook ## 问题 当假设、证据和 ATT&CK 映射集中在一个可执行的 playbook 中时,狩猎更容易重复执行。 ## 方法 该 playbook 将狩猎编码为关键词和预期的 artifacts,然后针对 Atomic Red Team 风格的演示日志运行它们。 ## 架构 ``` flowchart LR A[Demo data] --> B[Parser] B --> C[Heuristics and scoring] C --> D[HTML and JSON report] D --> E[Audit artifacts] ``` ## 运行方式 1. 如果需要,请创建一个虚拟环境。 2. 使用 `pip install -r requirements.txt` 安装依赖项。 3. 运行 `python app.py --html`。 4. 打开生成的 `output/threat-hunting-playbook-report.html` 文件。 ## MITRE ATT&CK 映射 T1059, T1083 (File and Directory Discovery), T1041 (Exfiltration Over C2 Channel) ## 结果 该演示会针对每个假设生成狩猎命中记录、证据片段以及简明的故事线。 ## 后续步骤 将合成数据替换为 SIEM 导出数据,并将狩猎目录提升为版本化的 YAML。
标签:Python, 代码示例, 安全运营, 扫描框架, 数据分析, 无后门, 网络安全审计, 逆向工具