威胁狩猎工具包

[GitHub][github-url] | [DockerHub][docker-url] | [文档][docs-url] [][docker-url] [][docker-url] [](#license)

威胁狩猎工具包 (THT) 是用于威胁狩猎、日志处理和安全数据科学的“瑞士军刀”。它将许多 CLI 工具整合在一处以便于部署，并包含包装脚本和便捷功能以提高易用性。它被打包为一个 Docker 镜像，只需一条命令即可部署。花更少的时间在安装、配置或环境差异上纠结，花更多的时间在过滤、切分和数据堆叠上。 ## 功能特性 🧰 **易于安装** - 体积小 - 保持下载大小在 300 MB 以下。 - 可移植 - 得益于 Docker，可在多种系统上运行。 📖 **快速上手** - 一致性 - 每个系统都获得相同的配置，这意味着在任何地方都是熟悉的环境。 - 格式无关 - 避免在针对不同格式（包括 Zeek、CSV、TSV 和 JSON）具有恼人语法差异的类似工具之间切换。 - 移除样板代码 - 通过包含的脚本、函数和别名，移除常见用例的样板代码。 - 文档齐全 - 提供了 [速查表][cheat-url] 和 [文档][docs-url] 以便立即开始。 🚀 **运行快速** - 优化 - 对所有内容进行基准测试，以便在有多种选择时找到最快的方法。 - 并行 - 许多组件利用多个 CPU 核心并行处理数据。 ## 用法 推荐的方法是使用本仓库中包含的 `tht` 包装脚本。 **安装** ``` sudo curl -o /usr/local/bin/tht https://raw.githubusercontent.com/ethack/tht/main/tht && sudo chmod +x /usr/local/bin/tht ``` **运行** ``` tht ``` **更新** ``` tht update ```

你也可以使用 docker 命令启动 THT。

**从 DockerHub** ``` docker run \ --rm -it \ -h $(hostname) \ --init \ --pid host \ -v /etc/localtime:/etc/localtime \ -v /:/host \ -w "/host/$(pwd)" \ ethack/tht ``` **从 GitHub Container Registry** ``` docker run \ --rm -it \ -h $(hostname) \ --init \ --pid host \ -v /etc/localtime:/etc/localtime \ -v /:/host \ -w "/host/$(pwd)" \ ghcr.io/ethack/tht ```

但是，你将失去 `tht` 包装脚本提供的所有便捷功能。 如果你想手动构建镜像或文档，请参阅[此处](https://ethack.github.io/tht/development/)。 ## 文档 有关当前文档，请参阅[此处](https://ethack.github.io/tht/)。 这些页面是了解全貌的好地方： - [THT 中包含的工具列表](https://ethack.github.io/tht/#/reference/) - [涵盖常见案例的速查表](https://ethack.github.io/tht/#/cheatsheets/) - 你也可以通过在 THT 内部运行 `cheat` 或按下 `ctrl-g` 键盘快捷键来访问这些内容。 - 每次启动 THT 时，你都会从这些速查表中获得一个随机提示。 ## 许可证 本项目中的源代码根据 [MIT 许可证](LICENSE) 授权。 [文档](docs/content/) 根据 [CC BY-NC-SA 4.0 许可证][cc-url] 授权。

标签：CSV, Cutter, Docker, JSON, Rootkit, THT, TSV, Zeek, 代码示例, 便携式环境, 安全工具包, 安全运营, 安全防御评估, 并行计算, 库, 应急响应, 扫描框架, 数据分析, 数据切片, 数据科学, 日志处理, 格式解析, 请求拦截, 资源验证, 逆向工具