paladin316/ThreatHunting

# ThreatHunting 这个仓库是我存储 Threat Hunting（威胁狩猎）想法/内容的地方 以下是该仓库中各项目的用例和文件描述： 在介绍文件内容之前，我先描述一下我的实验环境设置： **实验环境组件：** 1. 配置了 Olaf Hartong 的 sysmon-modular (https://github.com/paladin316/ThreatHunting/wiki/Threat-Hunting-Wiki) 的 Win10 客户端虚拟机 2. 安装在主机 Linux 系统上的 Splunk Enterprise 评估版 3. 用于生成数据的 Atomic Red Team 脚本 () **用例：** Splunk 查询旨在对 LOLBINs 活动进行评分，该方法利用评分机制，根据 MITRE 技术将最恶劣的活动置顶显示。评分模型使用四个数字（1、4、7、10）来表示所观察活动的严重程度。将所有活动的分数相加，得出每项 MITRE 技术的总分，然后再相加得出每个系统的整体得分。在实施评分系统之前，最好先对您环境中的 LOLBINs 使用情况进行频率分析。根据您对自己环境的了解构建评分模型（原则：了解您的环境）。这个评分模型将特定于您的环境，因为没有两家公司是完全相同的。 这里的主要目标是识别那些由于高误报率而无法触发安全产品警报的领域。基本上就是在数据元素之间进行搜索，以发现恶意行为。 **评分模型（基础）：** 基础分 + 每项 MITRE 技术得分 = 总分 1 = （低）环境中常见的 LOLBINs 活动，可能会被您的某些服务器和工作站支持团队使用 4 = （中）环境中较少见的 LOLBINs 活动，可能会被您的某些服务器和工作站支持团队使用 7 = （高）环境中不常见的 LOLBINs 活动，可能会被您的某些服务器和工作站支持团队使用 10 = （严重）环境中绝不应出现的 LOLBINs 活动，且您的服务器和工作站支持团队不会使用 **包含威胁计数的评分模型：** 基础分 + 每项 MITRE 技术得分 × 每个事件的发生次数 = 总分 [**查看 ThreatHunting Wiki 以获取狩猎详情和信息**](https://github.com/paladin316/ThreatHunting/wiki/Threat-Hunting-Wiki)

标签：Atomic Red Team, Cloudflare, Living Off The Land Binaries, LOLBins, MITRE ATT&CK, Sysmon, Threat Hunting, URL发现, 代码示例, 威胁情报, 安全检测, 安全运营, 实验室环境, 开发者工具, 恶意行为分析, 扫描框架, 数据分析, 数据泄露检测, 评分模型