msalman199/Cyber-Threat-Intelligence-Analysis-Engineering
GitHub: msalman199/Cyber-Threat-Intelligence-Analysis-Engineering
一个网络威胁情报实战学习仓库,系统覆盖 IOC 分析、恶意软件调查、MITRE ATT&CK 映射及情报自动化的完整工作流。
Stars: 1 | Forks: 0
         
# 📖 仓库目的 欢迎使用 **网络威胁情报与分析工程** 仓库。 本仓库致力于通过实践实验、真实世界威胁调查、恶意软件情报、失陷标示 (IOC) 分析、攻击者画像以及情报自动化,来培养**网络威胁情报 (CTI)** 的实战技能。 其目标是为安全专业人员、SOC 分析师、事件响应人员、威胁猎手和蓝队提供实用知识,以便为主动防御收集、分析、丰富和运用网络威胁情报。 # 🎯 目标 ✅ 学习网络威胁情报生命周期 ✅ 从多个来源收集威胁情报 ✅ 分析恶意软件活动 ✅ 提取失陷标示 (IOC) ✅ 追踪高级持续性威胁 (APT) ✅ 调查钓鱼基础设施 ✅ 分析攻击者的战术、技术和程序 (TTP) ✅ 将威胁映射到 MITRE ATT&CK ✅ 构建可操作的情报报告 ✅ 自动化威胁情报工作流 # 🚀 你将学到什么 ## 🌐 威胁情报基础 - 情报生命周期 - 战略情报 - 战术情报 - 运营情报 - 技术情报 - 威胁格局分析 ## 🔍 IOC 分析 - IP 地址 - 域名 - URL - Hash 分析 - 电子邮件分析 - 文件元数据 - 注册表痕迹 ## 🦠 恶意软件情报 - 恶意软件家族识别 - 静态分析 - 动态分析 - 行为指标 - 命令与控制 (C2) 基础设施 - 恶意软件归因 ## 🎯 攻击者追踪 - APT 组织 - 威胁行为者画像 - 活动分析 - 攻击基础设施 - 初始访问方法 - 持久化技术 ## ⚔ MITRE ATT&CK 映射 - 企业级 ATT&CK 框架 - ATT&CK Navigator - 战术映射 - 技术分析 - 检测工程 - 防御建议 ## 📊 威胁情报平台 - OpenCTI - MISP - VirusTotal - AlienVault OTX - AbuseIPDB - GreyNoise - URLHaus - Hybrid Analysis ## 🧩 威胁狩猎情报 - IOC 狩猎 - TTP 狩猎 - 行为分析 - 日志关联 - 威胁检测 - 情报驱动的狩猎 ## 🤖 情报自动化 - Python 自动化 - IOC 富化 - API 集成 - 威胁情报源收集 - 报告生成 - 数据解析 # 🛠️ 技术与工具 | 类别 | 技术 | |-----------|--------------| | 编程 | Python, Bash | | 操作系统 | Linux | | 威胁情报 | MISP, OpenCTI | | 威胁共享 | STIX, TAXII | | IOC 分析 | VirusTotal, OTX, AbuseIPDB | | 恶意软件分析 | YARA, CAPA, PEStudio | | 检测 | Sigma 规则 | | 威胁狩猎 | MITRE ATT&CK | | 自动化 | REST API, JSON, Python Requests | | 报告 | Markdown, HTML, PDF | # 🎓 你将培养的技能 - 🔍 威胁情报收集 - 🦠 恶意软件调查 - 🌐 IOC 分析 - 📊 威胁报告 - 🎯 MITRE ATT&CK 映射 - 🔐 网络威胁狩猎 - 🤖 安全自动化 - 📈 情报关联 - 🛡️ 防御性安全工程 - 📚 威胁研究 # 💼 职业相关性 本仓库为学习者准备的角色包括: - 网络威胁情报分析师 - 威胁猎手 - SOC 分析师 - DFIR 分析师 - 事件响应人员 - 恶意软件分析师 - 检测工程师 - 安全研究员 - 蓝队工程师 - 网络防御分析师 # 🌟 仓库亮点 ✔ 实践实验 ✔ 真实威胁情报工作流 ✔ IOC 调查 ✔ 恶意软件情报 ✔ 威胁狩猎技术 ✔ MITRE ATT&CK 映射 ✔ 情报自动化 ✔ 威胁报告 ✔ 开源情报 (OSINT) ✔ 检测工程 # 📈 学习成果 完成本仓库后,你将能够: - 收集和验证网络威胁情报 - 分析恶意基础设施 - 追踪攻击者行为 - 构建可操作的情报报告 - 关联 IOC 和 TTP - 使用 MITRE ATT&CK 映射攻击 - 自动化情报收集 - 增强威胁检测能力 - 支持事件响应调查 - 强化组织网络防御 # 📜 许可证 本仓库仅供**教育、研究和防御性网络安全目的使用。** 请始终负责任地进行安全测试,并且仅在授权环境中进行。