TamgaTurkiye/threat-hunting
GitHub: TamgaTurkiye/threat-hunting
一套面向防御方的系统性威胁狩猎方法论、遥测指南与可复用狩猎包,帮助 SOC 和检测工程团队建立结构化的威胁狩猎能力。
Stars: 0 | Forks: 0
# 威胁狩猎实战指南
**仓库名称:** `threat-hunting`
**内容语言:** Türkçe
**范围:** 防御
**状态:** v0.1 基础版
**最后验证:** 2026-07-12
## 目标
本仓库并非将威胁狩猎视为一种“工具清单”或随机的日志搜索,而是将其作为一个完整的循环来对待:**情报 → 假设 → 遥测 → 分析 → 验证 → 持久化检测**。
目标受众:
- SOC 和 Blue Team 分析师
- CTI 和 Detection Engineering 团队
- DFIR 从业人员
- 在安全实验室环境中工作的学生
- 希望建立企业级可见性和威胁狩猎计划的团队
## 基本原则
1. **威胁狩猎不是告警分诊。** 告警可以作为狩猎的线索;然而,狩猎必须基于一个可测试的研究问题。
2. **CTI 不是 IOC 列表。** 缺乏来源、上下文、可信度、时间和关系信息的单纯指标不能称为情报。
3. **未经遥测验证,不启动狩猎。** 在未收集、未解析或仅短暂保存的数据上无法进行可靠的狩猎。
4. **并非所有异常都是攻击。** 合法的管理操作、自动化、VPN、更新和业务流程都应被视为替代性解释。
5. **每次狩猎都必须产生文档化的输出。** 输出可以是:检测规则、遥测缺失、baseline、误报优化,或者是虽无结果但已验证的评估。
6. **以人为主导,以自动化为辅助。** 自动化负责数据收集和 enrichment;上下文和证据评估则是分析师的责任。
7. **不盲目归因,只评估证据。** 单一的 IOC、行为或产品告警不足以作为威胁行为者归因的依据。
## 仓库结构
```
threat-hunting/
├── docs/
│ ├── foundations/
│ ├── methodology/
│ ├── intelligence/
│ ├── telemetry/
│ ├── tools/
│ ├── detection-engineering/
│ └── governance/
├── hunt-packages/
│ ├── examples/
│ └── HUNT_PACKAGE_TEMPLATE.md
├── templates/
├── references/
├── CONTRIBUTING.md
├── SECURITY.md
├── DISCLAIMER.md
├── ROADMAP.md
└── CHANGELOG.md
```
## 入门路线
1. [威胁狩猎与 CTI 的区别](docs/foundations/THREAT_HUNTING_AND_CTI.md)
2. [端到端的狩猎生命周期](docs/methodology/HUNT_LIFECYCLE.md)
3. [狩猎方法](docs/methodology/HUNTING_METHODS.md)
4. [遥测矩阵](docs/telemetry/TELEMETRY_MATRIX.md)
5. [IOC、行为与 TTP](docs/intelligence/IOC_BEHAVIOR_TTP.md)
6. [工具生态系统](docs/tools/TOOL_LANDSCAPE.md)
7. [从狩猎到检测的过渡](docs/detection-engineering/HUNT_TO_DETECTION.md)
8. [Hunt package 模板](hunt-packages/HUNT_PACKAGE_TEMPLATE.md)
## 初级小团队模型
最低起步要求:
- 身份验证和权限变更日志
- 终端 process creation 及 parent-child 关系
- DNS 和 proxy 遥测
- 集中时间同步
- 充足的日志保留期限
- 每月或每两周一次的定期狩猎节奏
起步工具:
- MITRE ATT&CK — 通用行为语言
- Sigma — 可移植的日志检测规则
- Hayabusa 或 Chainsaw — Windows 事件日志分析
- Velociraptor 或 osquery — 终端查询/收集
工具选择不能代替数据源。
## 时效性政策
工具和标准记录中包含 `Last verified` 字段。动态信息应定期重新验证:
- 许可模式,
- 免费使用范围,
- 维护状态,
- 产品名称,
- 支持的集成。
## 安全范围
本仓库仅包含防御方法论、授权实验室、数据质量、Detection Engineering 以及安全的示例 Hunt package。
不接受真实的凭证、活跃目标、恶意 payload、防御规避指南、未经授权的访问或可实施的攻击链。
## 资源
主要参考来源:MITRE ATT&CK、CISA、OASIS STIX/TAXII、FIRST TLP、SigmaHQ、MISP、OpenCTI、Microsoft Learn、Zeek、Velociraptor 和 YARA-X 的官方文档。
详细列表:[主要来源](references/PRIMARY_SOURCES.md)
## 许可证
本仓库内的内容均在 **Creative Commons Attribution 4.0 International — CC BY 4.0** 许可证下发布。
内容可重用、共享和改编;但必须提供适当的署名。
标签:威胁情报, 安全运营, 开发者工具, 扫描框架, 管理员页面发现, 防御加固