kogunlowo123/threat-hunting-agent
GitHub: kogunlowo123/threat-hunting-agent
基于 MITRE ATT&CK 框架的企业级 AI 威胁狩猎 Agent,通过假设驱动的主动分析识别高级持续性威胁并将发现转化为自动化检测规则。
Stars: 0 | Forks: 0
# 威胁狩猎 Agent
[](https://github.com/kogunlowo123/threat-hunting-agent/actions/workflows/ci.yml)
[](https://www.python.org/downloads/)
[](https://opensource.org/licenses/MIT)
主动式威胁狩猎 Agent,基于 MITRE ATT&CK 技术生成并执行假设驱动的狩猎,分析行为异常,识别高级持续性威胁,并为检测工程记录狩猎发现。
## 特定领域工具
| 工具 | 描述 |
|------|-------------|
| `generate_hunt_hypothesis` | 基于 ATT&CK 技术或威胁情报生成威胁狩猎假设 |
| `execute_hunt_query` | 跨 SIEM 和 EDR 数据执行狩猎查询 |
| `detect_behavioral_anomaly` | 识别用户或实体活动中的行为异常 |
| `map_to_attack` | 将发现的活动映射到 MITRE ATT&CK 框架 |
| `create_detection_rule` | 将狩猎发现转化为自动化检测规则 |
## API Endpoints
| 方法 | 路径 | 描述 |
|--------|------|-------------|
| `POST` | `/api/v1/hunt/hypothesis` | 生成狩猎假设 |
| `POST` | `/api/v1/hunt/execute` | 执行狩猎查询 |
| `POST` | `/api/v1/hunt/anomaly` | 检测行为异常 |
| `POST` | `/api/v1/hunt/mitre-map` | 映射至 MITRE ATT&CK |
| `POST` | `/api/v1/hunt/detection-rule` | 创建检测规则 |
## 功能
- 假设狩猎
- 行为分析
- APT 检测
- 狩猎文档化
- 检测工程
## 集成
- Splunk
- Elastic SIEM
- CrowdStrike EDR
- Microsoft Defender EDR
- MITRE ATT&CK
## 架构
```
threat-hunting-agent/
├── src/
│ ├── agent/ # Domain-specific agent logic
│ │ ├── threat_hunting_agent_agent.py # Main agent with domain tools
│ │ ├── tools.py # 5 domain-specific tools
│ │ └── prompts.py # Expert system prompts
│ ├── api/ # FastAPI routes
│ │ └── routes/
│ │ ├── domain.py # 5 domain-specific endpoints
│ │ └── health.py # Health check
│ ├── connectors/ # 5 integration connectors
│ ├── config/ # Settings and configuration
│ ├── models/ # Domain-specific Pydantic schemas
│ ├── rag/ # RAG pipeline
│ ├── mcp/ # MCP server
│ └── a2a/ # Agent-to-agent protocol
├── tests/
├── infrastructure/ # Terraform, K8s, Helm, Docker
├── dashboard/ # Next.js frontend
└── docs/ # Architecture and deployment docs
```
## 快速开始
```
# 安装
pip install -e ".[dev]"
# 运行
make dev
# 测试
make test
# Docker
docker compose up -d
```
## 核心服务
**SIEM + EDR + 网络检测**
作为企业级 AI Agent 平台的一部分构建。
标签:Python, 子域名突变, 安全运营, 扫描框架, 无后门, 请求拦截