krishna28-sam/ATHRE---Automated-Threat-Hunting-Recommendation-Engine
GitHub: krishna28-sam/ATHRE---Automated-Threat-Hunting-Recommendation-Engine
基于 ATT&CK 知识图谱的威胁狩猎推荐引擎,通过融合 Sigma/Wazuh 覆盖率与威胁情报时效性得分,为特定 APT 组织生成优先狩猎建议。
Stars: 0 | Forks: 0
# ATHRE
ATHRE 是一个小型威胁狩猎推荐流水线。当前跟踪的仓库仅保留了你所描述的主要流水线:
- `parser.py` 解析 Sigma 覆盖率和 ATT&CK 数据。
- `wazuh_parser.py` 解析 Wazuh 覆盖率。
- `dual_coverage.py` 结合 Sigma 和 Wazuh 覆盖率,以识别双重未检测到的技术。
- `threat_intel.py` 获取 OTX pulse 数据并构建时效性得分。
- `engine.py` 构建 ATT&CK 知识图谱并对选定 APT 组织的假设进行排名。
- `evaluate.py` 根据真实活动评估排名输出。
- `ablation.py` 将完整模型与单信号变体进行比较。
- `scoring.py` 是由 engine、评估和消融脚本使用的共享评分助手。
- `enterprise-attack.json` 是被解析器和 engine 使用的 ATT&CK STIX 数据集。
- `sigma_coverage.json`、`wazuh_coverage.json`、`recency_scores.json` 和 `doubly_undetected.json` 是被后续阶段使用的衍生覆盖率产出物。
## 环境要求
- Python 3.10 或更高版本
- `networkx`
- `pyyaml`
- `mitreattack-python`
engine 还会在 `~/sigma/rules` 中查找本地 Sigma 规则。如果该文件夹不存在,流水线仍会启动,但 Sigma 覆盖率将为空。
## 运行
按流水线顺序生成覆盖率产出物和推荐:
```
python3 parser.py
python3 wazuh_parser.py
python3 dual_coverage.py
python3 threat_intel.py
python3 engine.py --group "APT29" --top 10
python3 evaluate.py
python3 ablation.py
```
为特定组织生成推荐:
```
python3 engine.py --group "APT29" --top 10
```
运行评估报告:
```
python3 evaluate.py
```
## 仓库布局
```
ATHRE/
├── README.md
├── .gitignore
├── parser.py
├── wazuh_parser.py
├── dual_coverage.py
├── threat_intel.py
├── engine.py
├── evaluate.py
├── ablation.py
├── scoring.py
├── enterprise-attack.json
├── sigma_coverage.json
├── wazuh_coverage.json
├── recency_scores.json
└── doubly_undetected.json
```
其他所有内容都将作为本地工作材料保留在你的笔记本电脑上,并被 Git 忽略。
标签:Python, Wazuh, 威胁情报, 开发者工具, 恶意代码分类, 无后门, 特权检测, 逆向工具