vtomasv/Threat-hunting-2026

GitHub: vtomasv/Threat-hunting-2026

一门企业级主动威胁狩猎实战课程,通过 22 个 Docker 实验室系统教授网络、内存和端点取证分析与现代狩猎方法论。

Stars: 0 | Forks: 0

# MAR404 — 威胁狩猎 ## 网络防御硕士 — Universidad Mayor — 2026 版 ## 课程描述 本课程旨在培养能够在企业环境中进行主动威胁狩猎的 Threat Hunter,将网络、内存和 endpoint 的取证分析与现代狩猎方法论(PEAK Framework、Hunting Loop、MITRE ATT&CK)相结合。 ## 仓库结构 ``` MAR404-threat-hunting-2026/ ├── README.md # Este archivo ├── clase-01/ # Introducción al Threat Hunting + IR │ └── docker/ # Laboratorios Docker de la clase │ ├── lab1-sysmon-elk/ # Lab 1: Hunting con Sysmon + ELK │ └── lab2-network-analysis/ # Lab 2: Detección de Beaconing C2 ├── clase-02/ # Análisis Forense de Red I │ └── docker/ │ ├── lab3-smtp-phishing/ # Lab 3: Detección de Phishing SMTP │ └── lab4-http-anomalies/ # Lab 4: User-Agents Anómalos ├── clase-03/ # Análisis Forense de Red II │ └── docker/ │ ├── lab5-tunnels-detection/ # Lab 5: Túneles DNS │ └── lab6-web-attacks/ # Lab 6: SQLi + Web Shells ├── clase-04/ # Análisis Forense de Red III │ └── docker/ │ ├── lab7-buffer-overflow/ # Lab 7: Buffer Overflow + File Upload │ └── lab8-caso-integrador-red/ # Lab 8: EVALUACIÓN - Caso Integrador Red ├── clase-05/ # Análisis Forense de Memoria I │ └── docker/ │ ├── lab9-volatility-fundamentals/ # Lab 9: Volatility 3 Basics │ └── lab10-windows-processes/ # Lab 10: Find Evil Advanced ├── clase-06/ # Análisis Forense de Memoria II │ └── docker/ │ ├── lab11-process-injection/ # Lab 11: Process Injection │ └── lab12-zeus-analysis/ # Lab 12: Zeus Botnet ├── clase-07/ # Análisis Forense de Memoria III │ └── docker/ │ ├── lab13-dll-injection/ # Lab 13: DLL Side-Loading + Trojan │ └── lab14-caso-integrador-memoria/ # Lab 14: EVALUACIÓN - Caso Integrador Memoria ├── clase-08/ # Análisis de Endpoints I │ └── docker/ │ ├── lab15-sysmon-elk-hunting/ # Lab 15: Sysmon + ELK Avanzado │ └── lab16-windows-eventids/ # Lab 16: Windows Event IDs ├── clase-09/ # Caza Avanzada │ └── docker/ │ ├── lab17-osquery-hunting/ # Lab 17: Hunting con Osquery │ └── lab18-sigma-rules/ # Lab 18: Sigma Rules ├── clase-10/ # Forensics + YARA │ └── docker/ │ ├── lab19-forensic-artifacts/ # Lab 19: Artefactos Forenses │ └── lab20-webshell-detection/ # Lab 20: Web Shell Detection + YARA ├── clase-11/ # Simulación APT + Evaluación Final │ └── docker/ │ ├── lab21-apt-simulation/ # Lab 21: APT29 Simulation │ └── lab22-evaluacion-final/ # Lab 22: EVALUACIÓN FINAL └── recursos-comunes/ # Recursos compartidos entre clases ``` ## 课程信息 | 字段 | 详情 | |-------|---------| | **课程代码** | MAR404 | | **课程名称** | 威胁狩猎 | | **专业项目** | 网络防御硕士 | | **大学** | Universidad Mayor | | **版本** | 2026 | | **时长** | 11 节课 | | **授课方式** | 100% 线下 | | **先修条件** | 通过 MAR303 | | **实践** | 至少 60-65% 的时间用于实验 | | **实验室** | 22 个独立的 Docker 实验室 | ## 实验室路线图 | 实验室 | 课次 | 主题 | MITRE ATT&CK 技术 | |-----|-------|------|----------------------| | 1 | 1 | Sysmon + ELK:Hunting Loop | T1105, T1059.001, T1053.005 | | 2 | 1 | C2 Beaconing 检测 | T1071.001, T1029 | | 3 | 2 | SMTP 钓鱼 | T1566.001, T1598 | | 4 | 2 | 异常 HTTP User-Agents | T1071.001, T1036 | | 5 | 3 | DNS 隧道(数据泄露) | T1048.001, T1071.004 | | 6 | 3 | SQL Injection + Web Shell | T1190, T1505.003 | | 7 | 4 | Buffer Overflow + File Upload | T1203, T1505.003 | | 8 | 4 | **网络综合案例**(评估) | 多阶段 | | 9 | 5 | Volatility 3 基础 | T1036.005, T1055 | | 10 | 5 | 寻找邪恶:Windows 进程 | T1055.012, T1134 | | 11 | 6 | 进程注入 | T1055.001, T1055.012 | | 12 | 6 | Zeus 僵尸网络分析 | T1055, T1056.004 | | 13 | 7 | DLL Side-Loading + 木马 | T1574.002, T1547.001 | | 14 | 7 | **内存综合案例**(评估) | 多阶段 | | 15 | 8 | Sysmon + ELK 进阶 | T1003.001, T1047, T1055.001 | | 16 | 8 | Windows 事件 ID 狩猎 | T1078, T1021.001, T1070.001 | | 17 | 9 | 使用 Osquery 进行狩猎 | T1053.005, T1547.001 | | 18 | 9 | Sigma 规则 | T1003.001, T1059.001 | | 19 | 10 | 取证痕迹 | T1547.001, T1070.004 | | 20 | 10 | Web Shell 检测 + YARA | T1505.003, T1059.004 | | 21 | 11 | APT29 模拟 | 完整 Kill Chain | | 22 | 11 | **期末评估**(Lazarus/SWIFT) | 完整 Kill Chain | ## 评估标准 | 评估项目 | 课次 | 权重 | 类型 | |------------|-------|-------------|------| | 网络综合案例 (Lab 8) | 4 | 30% | 实践案例 | | 内存综合案例 (Lab 14) | 7 | 30% | 实践案例 | | 期末评估 (Lab 22) | 11 | 30% | Hunting 任务 | | 参与 + 作业 | 1-11 | 10% | 日常考核 | 最低及格线:60% ## 技术要求 为了运行 Docker 实验室,学生需要: - **最低硬件配置**:16 GB RAM,100 GB 可用磁盘空间,支持虚拟化的处理器 - **软件**: - Docker Engine 24.0+ 和 Docker Compose v2 - Git - Wireshark(用于可视化分析 PCAPs) - 可访问 bash/zsh 的终端 - **网络连接**:需访问 Docker Hub 以下载基础镜像 ## 如何使用本仓库 ### 克隆仓库 ``` git clone https://github.com/vtomasv/MAR404-threat-hunting-2026.git cd MAR404-threat-hunting-2026 ``` ### 运行特定实验室 ``` cd clase-01/docker/lab1-sysmon-elk docker compose up -d ``` ### 检查容器状态 ``` docker compose ps docker compose logs ``` ### 访问分析容器 ``` docker exec -it bash ``` ### 课后清理 ``` docker compose down -v ``` ## 课程工具 | 工具 | 主要用途 | 涉及课次 | |-------------|---------------|--------| | Docker / Docker Compose | 部署实验室 | 全部 | | Wireshark / tshark | 网络流量分析 | 1-4 | | tcpdump | 流量捕获与过滤 | 1-4 | | ELK Stack (Elasticsearch + Kibana) | SIEM / 日志分析 | 1, 8, 15-16 | | Sysmon | Windows endpoint 遥测 | 1, 8 | | Volatility 3 | 内存取证分析 | 5-7 | | Osquery | endpoint 查询 | 9 | | MITRE ATT&CK Navigator | 技术可视化映射 | 全部 | | Sigma | 检测规则 | 9, 18 | | YARA | 恶意软件检测 | 10, 20 | ## 能力培养 - **CE03**:胜任网络防御角色以进行防范和保护,整合程序以检测威胁并生成相关文档。 - **CG02**:自主学习与批判性思维 — 管理资源和工具以实现自我调节和反思性判断。 ## 许可协议 本教学材料仅供 Universidad Mayor 网络防御硕士项目使用。未经授权不得分发。 ## 联系方式 教授:Tomás Vera — tomas.vera@umayor.cl
标签:Cloudflare, JARM, MITRE ATT&CK, 内存分析, 安全课程, 数字取证, 版权保护, 系统分析, 网络分析, 自动化脚本, 请求拦截