msalman199/-Advanced-Threat-Hunting-Incident-Response
GitHub: msalman199/-Advanced-Threat-Hunting-Incident-Response
一个涵盖威胁狩猎、数字取证、检测工程和事件响应的综合防御安全实践与学习资源库。
Stars: 1 | Forks: 0
# 🛡️ 高级威胁狩猎与事件响应
# 🔍 高级威胁狩猎与事件响应
### **检测 • 狩猎 • 调查 • 响应 • 恢复**
[](https://attack.mitre.org/)
[](https://www.sans.org/)
[]()
[]()
[]()
[]()
[](https://attack.mitre.org/)
[]()
[]()
[]()
[]()
# 📖 仓库目的
**高级威胁狩猎与事件响应** 仓库是一个全面的资源合集,包含动手实验项目、检测工程、威胁狩猎方法论、DFIR 调查以及事件响应 playbook,旨在模拟真实世界的网络攻击。
该仓库可帮助安全分析师、SOC 工程师、威胁猎人、蓝队操作员、DFIR 调查员和网络安全学生培养实用技能,以便在企业环境中识别、调查、遏制和消除高级威胁。
无论是响应勒索软件、发现持久化机制、检测横向移动,还是调查被攻陷的 endpoint,该仓库都专注于使用行业标准的工具和框架进行真实的防御操作。
# 🎯 学习目标
完成本仓库的学习后,您将能够:
- 🔍 在企业环境中执行主动威胁狩猎
- 🛡️ 使用行为分析检测攻击者技术
- 🧠 理解攻击者的战术、技术和程序(TTPs)
- 📊 将检测结果映射到 MITRE ATT&CK 框架
- 💻 分析 Windows 和 Linux 取证痕迹
- 📂 调查恶意文件和恶意软件行为
- 📑 收集和保存数字证据
- 🚨 执行完整的事件响应生命周期
- 🔥 检测勒索软件活动
- 🛰️ 调查命令与控制(C2)通信
- 🔑 识别凭证窃取技术
- 📡 分析 PowerShell 攻击
- 📈 构建威胁狩猎假设
- 🧪 开发 Sigma 和 YARA 检测规则
- ⚙️ 使用 Python 和 PowerShell 自动化调查
- 📖 生成专业的取证和事件响应报告
# 🛠 涵盖的技术
## 🖥 操作系统
- Windows 10/11
- Windows Server
- Linux
- Ubuntu
- Kali Linux
## 🔍 威胁狩猎
- MITRE ATT&CK
- IOC 狩猎
- 行为分析
- 日志关联
- TTP 映射
- 威胁情报
- 检测工程
## 🧪 数字取证
- 内存取证
- 磁盘取证
- 时间线分析
- 注册表分析
- 事件日志分析
- 浏览器取证
- 电子邮件取证
- 文件系统分析
- 痕迹收集
## 🚨 事件响应
- 准备
- 检测
- 分析
- 遏制
- 根除
- 恢复
- 经验教训
## ⚡ 检测工程
- Sigma 规则
- YARA 规则
- IOC 检测
- 行为检测
- 检测调优
- 告警验证
## 📈 SIEM 平台
- Splunk
- Microsoft Sentinel
- Elastic Security
- Wazuh
- QRadar
## 🔧 DFIR 工具
- Velociraptor
- KAPE
- Autopsy
- Volatility
- Chainsaw
- Hayabusa
- Sysinternals Suite
- MFTECmd
- Registry Explorer
- EvtxECmd
- PECmd
- Timeline Explorer
## ☁ 云安全
- AWS 日志
- Azure 日志
- Microsoft Defender
- Microsoft 365 调查
- CloudTrail
- Azure Sentinel
## 💻 编程
- Python
- PowerShell
- Bash
-
# 🔬 实践主题
✅ 威胁狩猎方法论
✅ Windows 事件日志分析
✅ Sysmon 分析
✅ PowerShell 日志记录
✅ 注册表取证
✅ 浏览器痕迹分析
✅ 时间线分析
✅ 持久化检测
✅ 凭证窃取检测
✅ 横向移动调查
✅ Active Directory 攻击
✅ Pass-the-Hash 检测
✅ Kerberoasting 调查
✅ 勒索软件狩猎
✅ 恶意软件分类
✅ 内存转储分析
✅ 网络取证
✅ 云事件响应
✅ IOC 开发
✅ 威胁情报集成
✅ 检测规则开发
✅ SOC 调查工作流
# 🎯 目标受众
本仓库专为以下人员设计:
- 🛡 SOC 分析师
- 🔍 威胁猎人
- 🚨 事件响应人员
- 💻 DFIR 分析师
- ☁ 云安全工程师
- 🔥 蓝队操作员
- 🎓 网络安全学生
- 🧪 恶意软件分析师
- 🖥 安全工程师
- 👨💻 安全研究员
# 🌟 仓库特点
- 📚 逐步指导的实践实验
- 🧪 真实世界的攻击模拟
- 🖥 Windows 和 Linux 调查
- ☁ 云安全场景
- 📂 取证痕迹样本
- 📈 SIEM 检测查询
- 🔍 MITRE ATT&CK 映射
- 🧠 威胁狩猎练习
- ⚙️ Python 自动化脚本
- 💻 PowerShell 调查脚本
- 📑 专业的事件响应报告
- 📊 检测工程示例
# 🏆 您将培养的技能
- 威胁狩猎
- 数字取证
- 事件响应
- 恶意软件调查
- 内存分析
- 注册表分析
- 事件日志分析
- 检测工程
- SIEM 操作
- 安全自动化
- 威胁情报
- IOC 开发
- 威胁分析
- DFIR 报告
# 🛡️ 更聪明地狩猎 • 更快地检测 • 更好地响应
### **祝您威胁狩猎愉快!🔍🚀**