msalman199/-Advanced-Threat-Hunting-Incident-Response

GitHub: msalman199/-Advanced-Threat-Hunting-Incident-Response

一个涵盖威胁狩猎、数字取证、检测工程和事件响应的综合防御安全实践与学习资源库。

Stars: 1 | Forks: 0

# 🛡️ 高级威胁狩猎与事件响应
# 🔍 高级威胁狩猎与事件响应 ### **检测 • 狩猎 • 调查 • 响应 • 恢复** [![威胁狩猎](https://img.shields.io/badge/Threat-Hunting-red?style=for-the-badge&logo=virustotal&logoColor=white)](https://attack.mitre.org/) [![事件响应](https://img.shields.io/badge/Incident-Response-blue?style=for-the-badge&logo=securityscorecard&logoColor=white)](https://www.sans.org/) [![数字取证](https://img.shields.io/badge/Digital-Forensics-orange?style=for-the-badge&logo=autopsy&logoColor=white)]() [![SOC](https://img.shields.io/badge/SOC-Operations-green?style=for-the-badge&logo=splunk&logoColor=white)]() [![Windows](https://img.shields.io/badge/Windows-DFIR-0078D6?style=for-the-badge&logo=windows&logoColor=white)]() [![Linux](https://img.shields.io/badge/Linux-Forensics-FCC624?style=for-the-badge&logo=linux&logoColor=black)]() [![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=for-the-badge)](https://attack.mitre.org/) [![Sigma](https://img.shields.io/badge/Sigma-Rules-blue?style=for-the-badge)]() [![YARA](https://img.shields.io/badge/YARA-Malware-green?style=for-the-badge)]() [![Python](https://img.shields.io/badge/Python-Automation-3776AB?style=for-the-badge&logo=python&logoColor=white)]() [![PowerShell](https://img.shields.io/badge/PowerShell-Scripting-5391FE?style=for-the-badge&logo=powershell&logoColor=white)]()
# 📖 仓库目的 **高级威胁狩猎与事件响应** 仓库是一个全面的资源合集,包含动手实验项目、检测工程、威胁狩猎方法论、DFIR 调查以及事件响应 playbook,旨在模拟真实世界的网络攻击。 该仓库可帮助安全分析师、SOC 工程师、威胁猎人、蓝队操作员、DFIR 调查员和网络安全学生培养实用技能,以便在企业环境中识别、调查、遏制和消除高级威胁。 无论是响应勒索软件、发现持久化机制、检测横向移动,还是调查被攻陷的 endpoint,该仓库都专注于使用行业标准的工具和框架进行真实的防御操作。 # 🎯 学习目标 完成本仓库的学习后,您将能够: - 🔍 在企业环境中执行主动威胁狩猎 - 🛡️ 使用行为分析检测攻击者技术 - 🧠 理解攻击者的战术、技术和程序(TTPs) - 📊 将检测结果映射到 MITRE ATT&CK 框架 - 💻 分析 Windows 和 Linux 取证痕迹 - 📂 调查恶意文件和恶意软件行为 - 📑 收集和保存数字证据 - 🚨 执行完整的事件响应生命周期 - 🔥 检测勒索软件活动 - 🛰️ 调查命令与控制(C2)通信 - 🔑 识别凭证窃取技术 - 📡 分析 PowerShell 攻击 - 📈 构建威胁狩猎假设 - 🧪 开发 Sigma 和 YARA 检测规则 - ⚙️ 使用 Python 和 PowerShell 自动化调查 - 📖 生成专业的取证和事件响应报告 # 🛠 涵盖的技术 ## 🖥 操作系统 - Windows 10/11 - Windows Server - Linux - Ubuntu - Kali Linux ## 🔍 威胁狩猎 - MITRE ATT&CK - IOC 狩猎 - 行为分析 - 日志关联 - TTP 映射 - 威胁情报 - 检测工程 ## 🧪 数字取证 - 内存取证 - 磁盘取证 - 时间线分析 - 注册表分析 - 事件日志分析 - 浏览器取证 - 电子邮件取证 - 文件系统分析 - 痕迹收集 ## 🚨 事件响应 - 准备 - 检测 - 分析 - 遏制 - 根除 - 恢复 - 经验教训 ## ⚡ 检测工程 - Sigma 规则 - YARA 规则 - IOC 检测 - 行为检测 - 检测调优 - 告警验证 ## 📈 SIEM 平台 - Splunk - Microsoft Sentinel - Elastic Security - Wazuh - QRadar ## 🔧 DFIR 工具 - Velociraptor - KAPE - Autopsy - Volatility - Chainsaw - Hayabusa - Sysinternals Suite - MFTECmd - Registry Explorer - EvtxECmd - PECmd - Timeline Explorer ## ☁ 云安全 - AWS 日志 - Azure 日志 - Microsoft Defender - Microsoft 365 调查 - CloudTrail - Azure Sentinel ## 💻 编程 - Python - PowerShell - Bash - # 🔬 实践主题 ✅ 威胁狩猎方法论 ✅ Windows 事件日志分析 ✅ Sysmon 分析 ✅ PowerShell 日志记录 ✅ 注册表取证 ✅ 浏览器痕迹分析 ✅ 时间线分析 ✅ 持久化检测 ✅ 凭证窃取检测 ✅ 横向移动调查 ✅ Active Directory 攻击 ✅ Pass-the-Hash 检测 ✅ Kerberoasting 调查 ✅ 勒索软件狩猎 ✅ 恶意软件分类 ✅ 内存转储分析 ✅ 网络取证 ✅ 云事件响应 ✅ IOC 开发 ✅ 威胁情报集成 ✅ 检测规则开发 ✅ SOC 调查工作流 # 🎯 目标受众 本仓库专为以下人员设计: - 🛡 SOC 分析师 - 🔍 威胁猎人 - 🚨 事件响应人员 - 💻 DFIR 分析师 - ☁ 云安全工程师 - 🔥 蓝队操作员 - 🎓 网络安全学生 - 🧪 恶意软件分析师 - 🖥 安全工程师 - 👨‍💻 安全研究员 # 🌟 仓库特点 - 📚 逐步指导的实践实验 - 🧪 真实世界的攻击模拟 - 🖥 Windows 和 Linux 调查 - ☁ 云安全场景 - 📂 取证痕迹样本 - 📈 SIEM 检测查询 - 🔍 MITRE ATT&CK 映射 - 🧠 威胁狩猎练习 - ⚙️ Python 自动化脚本 - 💻 PowerShell 调查脚本 - 📑 专业的事件响应报告 - 📊 检测工程示例 # 🏆 您将培养的技能 - 威胁狩猎 - 数字取证 - 事件响应 - 恶意软件调查 - 内存分析 - 注册表分析 - 事件日志分析 - 检测工程 - SIEM 操作 - 安全自动化 - 威胁情报 - IOC 开发 - 威胁分析 - DFIR 报告 # 🛡️ 更聪明地狩猎 • 更快地检测 • 更好地响应 ### **祝您威胁狩猎愉快!🔍🚀**
标签:AI合规, 域环境安全, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 数字取证, 数字取证, 知识库安全, 管理员页面发现, 自动化脚本, 自动化脚本, 逆向工具