krishna28-sam/ATHRE---Automated-Threat-Hunting-Recommendation-Engine

GitHub: krishna28-sam/ATHRE---Automated-Threat-Hunting-Recommendation-Engine

基于 ATT&CK 知识图谱的威胁狩猎推荐引擎,通过融合 Sigma/Wazuh 覆盖率与威胁情报时效性得分,为特定 APT 组织生成优先狩猎建议。

Stars: 0 | Forks: 0

# ATHRE ATHRE 是一个小型威胁狩猎推荐流水线。当前跟踪的仓库仅保留了你所描述的主要流水线: - `parser.py` 解析 Sigma 覆盖率和 ATT&CK 数据。 - `wazuh_parser.py` 解析 Wazuh 覆盖率。 - `dual_coverage.py` 结合 Sigma 和 Wazuh 覆盖率,以识别双重未检测到的技术。 - `threat_intel.py` 获取 OTX pulse 数据并构建时效性得分。 - `engine.py` 构建 ATT&CK 知识图谱并对选定 APT 组织的假设进行排名。 - `evaluate.py` 根据真实活动评估排名输出。 - `ablation.py` 将完整模型与单信号变体进行比较。 - `scoring.py` 是由 engine、评估和消融脚本使用的共享评分助手。 - `enterprise-attack.json` 是被解析器和 engine 使用的 ATT&CK STIX 数据集。 - `sigma_coverage.json`、`wazuh_coverage.json`、`recency_scores.json` 和 `doubly_undetected.json` 是被后续阶段使用的衍生覆盖率产出物。 ## 环境要求 - Python 3.10 或更高版本 - `networkx` - `pyyaml` - `mitreattack-python` engine 还会在 `~/sigma/rules` 中查找本地 Sigma 规则。如果该文件夹不存在,流水线仍会启动,但 Sigma 覆盖率将为空。 ## 运行 按流水线顺序生成覆盖率产出物和推荐: ``` python3 parser.py python3 wazuh_parser.py python3 dual_coverage.py python3 threat_intel.py python3 engine.py --group "APT29" --top 10 python3 evaluate.py python3 ablation.py ``` 为特定组织生成推荐: ``` python3 engine.py --group "APT29" --top 10 ``` 运行评估报告: ``` python3 evaluate.py ``` ## 仓库布局 ``` ATHRE/ ├── README.md ├── .gitignore ├── parser.py ├── wazuh_parser.py ├── dual_coverage.py ├── threat_intel.py ├── engine.py ├── evaluate.py ├── ablation.py ├── scoring.py ├── enterprise-attack.json ├── sigma_coverage.json ├── wazuh_coverage.json ├── recency_scores.json └── doubly_undetected.json ``` 其他所有内容都将作为本地工作材料保留在你的笔记本电脑上,并被 Git 忽略。
标签:Python, Wazuh, 威胁情报, 开发者工具, 恶意代码分类, 无后门, 特权检测, 逆向工具