vtomasv/Threat-hunting-2026
GitHub: vtomasv/Threat-hunting-2026
一门企业级主动威胁狩猎实战课程,通过 22 个 Docker 实验室系统教授网络、内存和端点取证分析与现代狩猎方法论。
Stars: 0 | Forks: 0
# MAR404 — 威胁狩猎
## 网络防御硕士 — Universidad Mayor — 2026 版
## 课程描述
本课程旨在培养能够在企业环境中进行主动威胁狩猎的 Threat Hunter,将网络、内存和 endpoint 的取证分析与现代狩猎方法论(PEAK Framework、Hunting Loop、MITRE ATT&CK)相结合。
## 仓库结构
```
MAR404-threat-hunting-2026/
├── README.md # Este archivo
├── clase-01/ # Introducción al Threat Hunting + IR
│ └── docker/ # Laboratorios Docker de la clase
│ ├── lab1-sysmon-elk/ # Lab 1: Hunting con Sysmon + ELK
│ └── lab2-network-analysis/ # Lab 2: Detección de Beaconing C2
├── clase-02/ # Análisis Forense de Red I
│ └── docker/
│ ├── lab3-smtp-phishing/ # Lab 3: Detección de Phishing SMTP
│ └── lab4-http-anomalies/ # Lab 4: User-Agents Anómalos
├── clase-03/ # Análisis Forense de Red II
│ └── docker/
│ ├── lab5-tunnels-detection/ # Lab 5: Túneles DNS
│ └── lab6-web-attacks/ # Lab 6: SQLi + Web Shells
├── clase-04/ # Análisis Forense de Red III
│ └── docker/
│ ├── lab7-buffer-overflow/ # Lab 7: Buffer Overflow + File Upload
│ └── lab8-caso-integrador-red/ # Lab 8: EVALUACIÓN - Caso Integrador Red
├── clase-05/ # Análisis Forense de Memoria I
│ └── docker/
│ ├── lab9-volatility-fundamentals/ # Lab 9: Volatility 3 Basics
│ └── lab10-windows-processes/ # Lab 10: Find Evil Advanced
├── clase-06/ # Análisis Forense de Memoria II
│ └── docker/
│ ├── lab11-process-injection/ # Lab 11: Process Injection
│ └── lab12-zeus-analysis/ # Lab 12: Zeus Botnet
├── clase-07/ # Análisis Forense de Memoria III
│ └── docker/
│ ├── lab13-dll-injection/ # Lab 13: DLL Side-Loading + Trojan
│ └── lab14-caso-integrador-memoria/ # Lab 14: EVALUACIÓN - Caso Integrador Memoria
├── clase-08/ # Análisis de Endpoints I
│ └── docker/
│ ├── lab15-sysmon-elk-hunting/ # Lab 15: Sysmon + ELK Avanzado
│ └── lab16-windows-eventids/ # Lab 16: Windows Event IDs
├── clase-09/ # Caza Avanzada
│ └── docker/
│ ├── lab17-osquery-hunting/ # Lab 17: Hunting con Osquery
│ └── lab18-sigma-rules/ # Lab 18: Sigma Rules
├── clase-10/ # Forensics + YARA
│ └── docker/
│ ├── lab19-forensic-artifacts/ # Lab 19: Artefactos Forenses
│ └── lab20-webshell-detection/ # Lab 20: Web Shell Detection + YARA
├── clase-11/ # Simulación APT + Evaluación Final
│ └── docker/
│ ├── lab21-apt-simulation/ # Lab 21: APT29 Simulation
│ └── lab22-evaluacion-final/ # Lab 22: EVALUACIÓN FINAL
└── recursos-comunes/ # Recursos compartidos entre clases
```
## 课程信息
| 字段 | 详情 |
|-------|---------|
| **课程代码** | MAR404 |
| **课程名称** | 威胁狩猎 |
| **专业项目** | 网络防御硕士 |
| **大学** | Universidad Mayor |
| **版本** | 2026 |
| **时长** | 11 节课 |
| **授课方式** | 100% 线下 |
| **先修条件** | 通过 MAR303 |
| **实践** | 至少 60-65% 的时间用于实验 |
| **实验室** | 22 个独立的 Docker 实验室 |
## 实验室路线图
| 实验室 | 课次 | 主题 | MITRE ATT&CK 技术 |
|-----|-------|------|----------------------|
| 1 | 1 | Sysmon + ELK:Hunting Loop | T1105, T1059.001, T1053.005 |
| 2 | 1 | C2 Beaconing 检测 | T1071.001, T1029 |
| 3 | 2 | SMTP 钓鱼 | T1566.001, T1598 |
| 4 | 2 | 异常 HTTP User-Agents | T1071.001, T1036 |
| 5 | 3 | DNS 隧道(数据泄露) | T1048.001, T1071.004 |
| 6 | 3 | SQL Injection + Web Shell | T1190, T1505.003 |
| 7 | 4 | Buffer Overflow + File Upload | T1203, T1505.003 |
| 8 | 4 | **网络综合案例**(评估) | 多阶段 |
| 9 | 5 | Volatility 3 基础 | T1036.005, T1055 |
| 10 | 5 | 寻找邪恶:Windows 进程 | T1055.012, T1134 |
| 11 | 6 | 进程注入 | T1055.001, T1055.012 |
| 12 | 6 | Zeus 僵尸网络分析 | T1055, T1056.004 |
| 13 | 7 | DLL Side-Loading + 木马 | T1574.002, T1547.001 |
| 14 | 7 | **内存综合案例**(评估) | 多阶段 |
| 15 | 8 | Sysmon + ELK 进阶 | T1003.001, T1047, T1055.001 |
| 16 | 8 | Windows 事件 ID 狩猎 | T1078, T1021.001, T1070.001 |
| 17 | 9 | 使用 Osquery 进行狩猎 | T1053.005, T1547.001 |
| 18 | 9 | Sigma 规则 | T1003.001, T1059.001 |
| 19 | 10 | 取证痕迹 | T1547.001, T1070.004 |
| 20 | 10 | Web Shell 检测 + YARA | T1505.003, T1059.004 |
| 21 | 11 | APT29 模拟 | 完整 Kill Chain |
| 22 | 11 | **期末评估**(Lazarus/SWIFT) | 完整 Kill Chain |
## 评估标准
| 评估项目 | 课次 | 权重 | 类型 |
|------------|-------|-------------|------|
| 网络综合案例 (Lab 8) | 4 | 30% | 实践案例 |
| 内存综合案例 (Lab 14) | 7 | 30% | 实践案例 |
| 期末评估 (Lab 22) | 11 | 30% | Hunting 任务 |
| 参与 + 作业 | 1-11 | 10% | 日常考核 |
最低及格线:60%
## 技术要求
为了运行 Docker 实验室,学生需要:
- **最低硬件配置**:16 GB RAM,100 GB 可用磁盘空间,支持虚拟化的处理器
- **软件**:
- Docker Engine 24.0+ 和 Docker Compose v2
- Git
- Wireshark(用于可视化分析 PCAPs)
- 可访问 bash/zsh 的终端
- **网络连接**:需访问 Docker Hub 以下载基础镜像
## 如何使用本仓库
### 克隆仓库
```
git clone https://github.com/vtomasv/MAR404-threat-hunting-2026.git
cd MAR404-threat-hunting-2026
```
### 运行特定实验室
```
cd clase-01/docker/lab1-sysmon-elk
docker compose up -d
```
### 检查容器状态
```
docker compose ps
docker compose logs
```
### 访问分析容器
```
docker exec -it bash
```
### 课后清理
```
docker compose down -v
```
## 课程工具
| 工具 | 主要用途 | 涉及课次 |
|-------------|---------------|--------|
| Docker / Docker Compose | 部署实验室 | 全部 |
| Wireshark / tshark | 网络流量分析 | 1-4 |
| tcpdump | 流量捕获与过滤 | 1-4 |
| ELK Stack (Elasticsearch + Kibana) | SIEM / 日志分析 | 1, 8, 15-16 |
| Sysmon | Windows endpoint 遥测 | 1, 8 |
| Volatility 3 | 内存取证分析 | 5-7 |
| Osquery | endpoint 查询 | 9 |
| MITRE ATT&CK Navigator | 技术可视化映射 | 全部 |
| Sigma | 检测规则 | 9, 18 |
| YARA | 恶意软件检测 | 10, 20 |
## 能力培养
- **CE03**:胜任网络防御角色以进行防范和保护,整合程序以检测威胁并生成相关文档。
- **CG02**:自主学习与批判性思维 — 管理资源和工具以实现自我调节和反思性判断。
## 许可协议
本教学材料仅供 Universidad Mayor 网络防御硕士项目使用。未经授权不得分发。
## 联系方式
教授:Tomás Vera — tomas.vera@umayor.cl
标签:Cloudflare, JARM, MITRE ATT&CK, 内存分析, 安全课程, 数字取证, 版权保护, 系统分析, 网络分析, 自动化脚本, 请求拦截