cmdaltr/MITRESaw
GitHub: cmdaltr/MITRESaw
从MITRE ATT&CK框架提取威胁组织TTPs并自动生成适用于主流SIEM平台的检测查询语句。
Stars: 4 | Forks: 0
```
,
╓╗╗, ,╓▄▄▄Φ▓▓██▌╫D
║▌ `▓L ,,, ╓▄▄▄Φ▓▓▀▀▀╫╫╫╫╫╫╫▀▀╫▓▓▄
▓▄▓▓▓ ,▄▄B░▀╫Ñ╬░░╫╫▓▓▓▓╫╫╫╫▓▓▓╫╫╫╫╣▓▓▓▄
║████L ,╓#▀▀▀╨╫ÑÑ╦▄▒▀╣▓▄▄▀╣▌╫▀ ██╫╫╫╫▓▓╫▓▓φ
▓╫╫╫▀]Ñ░░░░ÑÑÑÑ░░░░░╠▀W▄╠▀▓▒░╫Ñ╖ ╙└"╜▀▓▓▓▓▓█▓▓
║░░░╦╬╫╫╫╫╫╫╫╫╫╫╫╫╫ÑÑ░░░╠Ñ░╨╫Ñ░╫╫╫╫N ▀▓▓▓╫██▓╕
,]░╦╬╫╫╫╫╫╫╫▓▓▓▓▓▓╫╫╫╫╫╫╫Ñ░░╠░░╫M░╠╫╫╫╫╦, ▀▓▓▓▓▓▓⌐
╗▄╦ ]░░╬╫╫╫╫╫▓▓██████████▓▓▒╫╫╫╫Ñ░░╟▒╟▓▒ñ▓▓▓▓░N ╙▓▓▓▓▓▓
║███╫█╫ ]░░╫╫╫╫╫▓███▓▓▓▓▓▓▓▓▓▓███▓╫╫╫╫╫░░╟▒╟▓Ü╟▓▓▓▓░H ╟▓▓▓▓▓L
║███╫█╫ ]░░╫╫╫╫▓██▓╫▓▓▓▀▀╠╠╬▀▓▓▓╫▓██▓╫╫╫╫░░ÑÑ╠▄░╠▓▓▓▄▄▄▄▄▓▓▓╫╫╫╫
╓▄▄╫█╫╖╖╖╦░╫╫╫╫╫██▓▓▓▓▀░╬Ñ╣╬╫Ñ░╟▓▓▓▓██╫╫╫╫Ñ░╦]░░░║████▀▀╫╫╫▓╩╨╟╫
╟▓▓╫█╫▀▀▀╩╬╩╫╫▓██▓▓▓▓▌░╫░╟▓▓K╫Ñ░▓▓▓▓╫██▓▒╩╩╩╩ ╙╩╨▀▓M╨╩╨╙╝╣N╦╗Φ╝
╫█╫ ▀███▀╣▓▓▓▓▓░╫Ñ░╠▀░╫Ü░▓▓▓▓▓▀▀███╕ ▐▓▌╖
▄▄▄▄▓█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄╛
▀╩╫╫╫╠╣▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▀░╫╫╫╫▌
╗▄╫╫Ñ░╠▀▓▓▓▓▓▓▓▓▓▓▓▓▀░╦╬╫╫∩
`⌠╫╫╫Ñ░░Å╣▀▀▀▀▀▒░╦╬╫╫╫`█
╙╙""╫╫╫½╫╫╫╬╫╫╫╫╫M"▓╛
└╙└ ▄▓╩`║▓╩ Å▀
```
## 关于本项目 MITRESaw 的核心功能是创建 [MITRE ATT&CK Framework](https://attack.mitre.org) 的 CSV 格式版本,并根据提供的关键词输出各个威胁行为体 (Threat Actor) 的 [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) JSON 文件。
MITRESaw 已经发展到还可以根据提取的指标(与威胁组织 TTP 对齐)生成搜索查询。目前提供的搜索兼容 Splunk、Azure Sentinel 和 Elastic/Kibana。SIGMA 即将推出。
## 安装说明 `python3 -m pip install -r requirements.txt`
## 使用方法 `./MITRESaw.py [options]` 所有参数都是具有合理默认值的可选命名标志。要显示用法,只需运行:`./MITRESaw.py -h` ``` usage: MITRESaw.py [-h] [-f FRAMEWORK] [-p PLATFORMS] [-t SEARCHTERMS] [-g THREATGROUPS] [-a] [-n] [-o] [-Q] [-q] [-r] [-c COLUMNS] [-d] [-x {csv,json,xml}] options: -h, --help show this help message and exit -f, --framework FRAMEWORK Specify which framework - Enterprise, ICS or Mobile (default: Enterprise) -p, --platforms PLATFORMS Filter by platform e.g. Windows,Linux,IaaS (default: . for all) -t, --searchterms TERMS Filter by industry e.g. mining,technology,defense (default: . for all) -g, --threatgroups GROUPS Filter by group e.g. APT29,HAFNIUM,Turla (default: . for all) -a, --asciiart Show ASCII Art of the saw -n, --navlayers Obtain ATT&CK Navigator layers for identified Groups -o, --showotherlogsources Show log sources with less than 1% coverage -Q, --queries Build search queries for Splunk, Azure Sentinel, Elastic/Kibana -q, --quiet Suppress per-identifier output; print only group completion -r, --truncate Truncate indicator output (still written to file) -c, --columns COLUMNS Export filtered CSV with specified columns (comma-separated) -d, --default Export key procedure columns to mitre_procedures.csv -x, --export {csv,json,xml} Export format for output files (default: csv) ``` ### 示例 ``` # 默认导出所有组(获取结果的最快方式) ./MITRESaw.py -d # Quiet 模式 - 显示组完成情况而非每个 indicator ./MITRESaw.py -d -q # 按 platform 和 threat group 过滤 ./MITRESaw.py -p Windows -g APT29 # 导出为 JSON ./MITRESaw.py -g APT29 -x json # 在 Windows/Linux 上为特定组构建 search queries ./MITRESaw.py -p Windows,Linux -t mining,technology,defense -Q # 导出带有 industry keyword 标记的过滤列 ./MITRESaw.py -c group_software_name,technique_id,technique_name,keywords ``` `--columns` 的有效列名: ``` group_software_id, group_software_name, technique_id, item_identifier, group_software, relation_identifier, created, last_modified, group_software_description, technique_name, technique_tactics, technique_description, technique_detection, technique_platforms, technique_datasources, evidence_type, evidence_indicators, keywords ``` ### 注意事项 由于 MITRE ATT&CK 是在美国构建和管理的,因此提供的关键词需要使用美式英语,而不是英式英语(例如,defense 与 defence)。
## 致谢 * [Best-README-Template](https://github.com/othneildrew/Best-README-Template) * [Img Shields](https://shields.io) * [Choose an Open Source License](https://choosealicense.com) * [GitHub Pages](https://pages.github.com)
MITRESaw
Cut through MITRE ATT&CK framework and extract relevant identifiers for searching and hunting.
## 关于本项目 MITRESaw 的核心功能是创建 [MITRE ATT&CK Framework](https://attack.mitre.org) 的 CSV 格式版本,并根据提供的关键词输出各个威胁行为体 (Threat Actor) 的 [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) JSON 文件。
MITRESaw 已经发展到还可以根据提取的指标(与威胁组织 TTP 对齐)生成搜索查询。目前提供的搜索兼容 Splunk、Azure Sentinel 和 Elastic/Kibana。SIGMA 即将推出。
## 安装说明 `python3 -m pip install -r requirements.txt`
## 使用方法 `./MITRESaw.py [options]` 所有参数都是具有合理默认值的可选命名标志。要显示用法,只需运行:`./MITRESaw.py -h` ``` usage: MITRESaw.py [-h] [-f FRAMEWORK] [-p PLATFORMS] [-t SEARCHTERMS] [-g THREATGROUPS] [-a] [-n] [-o] [-Q] [-q] [-r] [-c COLUMNS] [-d] [-x {csv,json,xml}] options: -h, --help show this help message and exit -f, --framework FRAMEWORK Specify which framework - Enterprise, ICS or Mobile (default: Enterprise) -p, --platforms PLATFORMS Filter by platform e.g. Windows,Linux,IaaS (default: . for all) -t, --searchterms TERMS Filter by industry e.g. mining,technology,defense (default: . for all) -g, --threatgroups GROUPS Filter by group e.g. APT29,HAFNIUM,Turla (default: . for all) -a, --asciiart Show ASCII Art of the saw -n, --navlayers Obtain ATT&CK Navigator layers for identified Groups -o, --showotherlogsources Show log sources with less than 1% coverage -Q, --queries Build search queries for Splunk, Azure Sentinel, Elastic/Kibana -q, --quiet Suppress per-identifier output; print only group completion -r, --truncate Truncate indicator output (still written to file) -c, --columns COLUMNS Export filtered CSV with specified columns (comma-separated) -d, --default Export key procedure columns to mitre_procedures.csv -x, --export {csv,json,xml} Export format for output files (default: csv) ``` ### 示例 ``` # 默认导出所有组(获取结果的最快方式) ./MITRESaw.py -d # Quiet 模式 - 显示组完成情况而非每个 indicator ./MITRESaw.py -d -q # 按 platform 和 threat group 过滤 ./MITRESaw.py -p Windows -g APT29 # 导出为 JSON ./MITRESaw.py -g APT29 -x json # 在 Windows/Linux 上为特定组构建 search queries ./MITRESaw.py -p Windows,Linux -t mining,technology,defense -Q # 导出带有 industry keyword 标记的过滤列 ./MITRESaw.py -c group_software_name,technique_id,technique_name,keywords ``` `--columns` 的有效列名: ``` group_software_id, group_software_name, technique_id, item_identifier, group_software, relation_identifier, created, last_modified, group_software_description, technique_name, technique_tactics, technique_description, technique_detection, technique_platforms, technique_datasources, evidence_type, evidence_indicators, keywords ``` ### 注意事项 由于 MITRE ATT&CK 是在美国构建和管理的,因此提供的关键词需要使用美式英语,而不是英式英语(例如,defense 与 defence)。
## 致谢 * [Best-README-Template](https://github.com/othneildrew/Best-README-Template) * [Img Shields](https://shields.io) * [Choose an Open Source License](https://choosealicense.com) * [GitHub Pages](https://pages.github.com)
标签:Cloudflare, ID提取, MITRE ATT&CK, Python, TTP, 二进制发布, 威胁情报, 开发者工具, 开源工具, 攻击技术, 无后门, 标识符, 框架工具, 网络安全, 逆向工具, 隐私保护