briwandt/aws-bedrock-cti-validation-lab
GitHub: briwandt/aws-bedrock-cti-validation-lab
该项目评估 Amazon Bedrock 将威胁报告叙述映射到 MITRE ATT&CK 技术的准确性,并通过确定性验证器自动校验 LLM 输出的语义可靠性。
Stars: 0 | Forks: 0
# AWS Bedrock CTI 验证实验室
本仓库旨在评估 Amazon Bedrock 的能力(特别是使用 Amazon Nova 2 Lite),以准确地将威胁报告叙述映射到 MITRE ATT&CK 技术上。
## 确定性 ATT&CK 验证
Bedrock API 的输出通过了一个 Python 验证器进行检查,该验证器会校验以下内容:
- 技术 ID
- 规范的技术名称
- 证据与技术的一致性
- 缺失字段
- 不支持的映射
验证结果:
- 映射总数:3
- 通过:1
- 需要审查:2
- 整体状态:审查
这证明了,有效的结构化 JSON 并不能保证在语义上准确的威胁情报。
## 自动化 ATT&CK 验证
Lambda 函数会在保存最终结果之前,验证 Bedrock 返回的每一个 ATT&CK 映射。
该验证器会检查:
- 技术 ID 的有效性
- 规范的技术名称
- 证据与技术的一致性
- 缺失字段
- 不支持的映射
在本次测试中,Bedrock 返回了三个 ATT&CK 映射:
- 2 个通过验证
- 1 个需要分析师审查
- 整体状态:审查
验证器准确地识别出,收件箱转发规则(inbox-forwarding-rule)活动应该映射到 `T1114.003`,而不是 `T1558`。
标签:AWS, Cloudflare, DLL 劫持, DPI, MITRE ATT&CK, 人工智能, 大语言模型, 威胁情报, 开发者工具, 数据验证, 用户模式Hook绕过, 逆向工具