Ronitsharma13/threat-hunting-playbook
GitHub: Ronitsharma13/threat-hunting-playbook
该项目将威胁狩猎假设、证据与 ATT&CK 映射编码为可执行的 playbook,通过自动化分析演示日志生成结构化狩猎报告。
Stars: 0 | Forks: 0
# 威胁狩猎 Playbook
## 问题
当假设、证据和 ATT&CK 映射集中在一个可执行的 playbook 中时,狩猎更容易重复执行。
## 方法
该 playbook 将狩猎编码为关键词和预期的 artifacts,然后针对 Atomic Red Team 风格的演示日志运行它们。
## 架构
```
flowchart LR
A[Demo data] --> B[Parser]
B --> C[Heuristics and scoring]
C --> D[HTML and JSON report]
D --> E[Audit artifacts]
```
## 运行方式
1. 如果需要,请创建一个虚拟环境。
2. 使用 `pip install -r requirements.txt` 安装依赖项。
3. 运行 `python app.py --html`。
4. 打开生成的 `output/threat-hunting-playbook-report.html` 文件。
## MITRE ATT&CK 映射
T1059, T1083 (File and Directory Discovery), T1041 (Exfiltration Over C2 Channel)
## 结果
该演示会针对每个假设生成狩猎命中记录、证据片段以及简明的故事线。
## 后续步骤
将合成数据替换为 SIEM 导出数据,并将狩猎目录提升为版本化的 YAML。
标签:Python, 代码示例, 安全运营, 扫描框架, 数据分析, 无后门, 网络安全审计, 逆向工具