TamgaTurkiye/threat-hunting

GitHub: TamgaTurkiye/threat-hunting

一套面向防御方的系统性威胁狩猎方法论、遥测指南与可复用狩猎包,帮助 SOC 和检测工程团队建立结构化的威胁狩猎能力。

Stars: 0 | Forks: 0

# 威胁狩猎实战指南 **仓库名称:** `threat-hunting` **内容语言:** Türkçe **范围:** 防御 **状态:** v0.1 基础版 **最后验证:** 2026-07-12 ## 目标 本仓库并非将威胁狩猎视为一种“工具清单”或随机的日志搜索,而是将其作为一个完整的循环来对待:**情报 → 假设 → 遥测 → 分析 → 验证 → 持久化检测**。 目标受众: - SOC 和 Blue Team 分析师 - CTI 和 Detection Engineering 团队 - DFIR 从业人员 - 在安全实验室环境中工作的学生 - 希望建立企业级可见性和威胁狩猎计划的团队 ## 基本原则 1. **威胁狩猎不是告警分诊。** 告警可以作为狩猎的线索;然而,狩猎必须基于一个可测试的研究问题。 2. **CTI 不是 IOC 列表。** 缺乏来源、上下文、可信度、时间和关系信息的单纯指标不能称为情报。 3. **未经遥测验证,不启动狩猎。** 在未收集、未解析或仅短暂保存的数据上无法进行可靠的狩猎。 4. **并非所有异常都是攻击。** 合法的管理操作、自动化、VPN、更新和业务流程都应被视为替代性解释。 5. **每次狩猎都必须产生文档化的输出。** 输出可以是:检测规则、遥测缺失、baseline、误报优化,或者是虽无结果但已验证的评估。 6. **以人为主导,以自动化为辅助。** 自动化负责数据收集和 enrichment;上下文和证据评估则是分析师的责任。 7. **不盲目归因,只评估证据。** 单一的 IOC、行为或产品告警不足以作为威胁行为者归因的依据。 ## 仓库结构 ``` threat-hunting/ ├── docs/ │ ├── foundations/ │ ├── methodology/ │ ├── intelligence/ │ ├── telemetry/ │ ├── tools/ │ ├── detection-engineering/ │ └── governance/ ├── hunt-packages/ │ ├── examples/ │ └── HUNT_PACKAGE_TEMPLATE.md ├── templates/ ├── references/ ├── CONTRIBUTING.md ├── SECURITY.md ├── DISCLAIMER.md ├── ROADMAP.md └── CHANGELOG.md ``` ## 入门路线 1. [威胁狩猎与 CTI 的区别](docs/foundations/THREAT_HUNTING_AND_CTI.md) 2. [端到端的狩猎生命周期](docs/methodology/HUNT_LIFECYCLE.md) 3. [狩猎方法](docs/methodology/HUNTING_METHODS.md) 4. [遥测矩阵](docs/telemetry/TELEMETRY_MATRIX.md) 5. [IOC、行为与 TTP](docs/intelligence/IOC_BEHAVIOR_TTP.md) 6. [工具生态系统](docs/tools/TOOL_LANDSCAPE.md) 7. [从狩猎到检测的过渡](docs/detection-engineering/HUNT_TO_DETECTION.md) 8. [Hunt package 模板](hunt-packages/HUNT_PACKAGE_TEMPLATE.md) ## 初级小团队模型 最低起步要求: - 身份验证和权限变更日志 - 终端 process creation 及 parent-child 关系 - DNS 和 proxy 遥测 - 集中时间同步 - 充足的日志保留期限 - 每月或每两周一次的定期狩猎节奏 起步工具: - MITRE ATT&CK — 通用行为语言 - Sigma — 可移植的日志检测规则 - Hayabusa 或 Chainsaw — Windows 事件日志分析 - Velociraptor 或 osquery — 终端查询/收集 工具选择不能代替数据源。 ## 时效性政策 工具和标准记录中包含 `Last verified` 字段。动态信息应定期重新验证: - 许可模式, - 免费使用范围, - 维护状态, - 产品名称, - 支持的集成。 ## 安全范围 本仓库仅包含防御方法论、授权实验室、数据质量、Detection Engineering 以及安全的示例 Hunt package。 不接受真实的凭证、活跃目标、恶意 payload、防御规避指南、未经授权的访问或可实施的攻击链。 ## 资源 主要参考来源:MITRE ATT&CK、CISA、OASIS STIX/TAXII、FIRST TLP、SigmaHQ、MISP、OpenCTI、Microsoft Learn、Zeek、Velociraptor 和 YARA-X 的官方文档。 详细列表:[主要来源](references/PRIMARY_SOURCES.md) ## 许可证 本仓库内的内容均在 **Creative Commons Attribution 4.0 International — CC BY 4.0** 许可证下发布。 内容可重用、共享和改编;但必须提供适当的署名。
标签:威胁情报, 安全运营, 开发者工具, 扫描框架, 管理员页面发现, 防御加固