OTRF/ThreatHunter-Playbook
GitHub: OTRF/ThreatHunter-Playbook
一个社区驱动的威胁狩猎知识库项目,解决了狩猎流程难以标准化与复现的问题。
Stars: 4531 | Forks: 850
# 威胁狩猎手册
[](https://mybinder.org/v2/gh/OTRF/ThreatHunter-Playbook/master)
[](https://opensource.org/licenses/MIT)
[](https://twitter.com/HunterPlaybook)
[](https://twitter.com/OTR_Community)
[](https://github.com/ellerbrock/open-source-badges/)
威胁狩猎手册是一个社区驱动的开源项目,专注于**记录威胁狩猎者在狩猎前、狩猎中和狩猎后的思考、计划和推理过程**。该项目以结构化的方式捕获对手的技术、检测逻辑和支撑资源,使威胁狩猎更有效且可重复。所有狩猎文档遵循 [MITRE ATT&CK](https://attack.mitre.org/) 的结构,将事后行为组织为战术组,并通过 [交互式 Jupyter 笔记本](https://docs.jupyter.org/en/latest/projects/architecture/content-architecture.html#the-jupyter-notebook-format) 表达。这些笔记本结合了 Markdown、分析、数据集和验证查询,允许将狩猎视为可执行文档以保留意图和推理过程——而不仅仅是结果,并可使用 [预记录的安全数据集](https://securitydatasets.com) 和 [BinderHub](https://mybinder.readthedocs.io/en/latest/index.html) 在本地或远程运行。
## 文档:https://threathunterplaybook.com/
## 目标
* 记录并分享威胁狩猎者如何计划、推理和构建整个生命周期的狩猎。
* 加快基于系统行为和对手技术的狩猎技术与假设的开发。
* 提供可重用的工作流程、模板和参考,以支持一致的狩猎计划与分析。
* 支持使用预记录的安全数据集在本地或云端环境进行验证与实验。
* 启用带人工监督的 AI 增强威胁狩猎工作流。
* 通过开源、社区驱动的资源加速学习与知识共享。
## 威胁狩猎作为框架
威胁狩猎手册围绕一个简单、可重复的生命周期构建,该生命周期基于对系统行为、对手技术和环境上下文的共同理解。该框架记录了狩猎的规划、执行和文档化方式,强调结构化与推理,而非临时调查。
从高层次来看,该框架包含三个阶段:
- **计划(Plan)** — 通过定义被狩猎的行为、假设、预期活动以及该行为如何在遥测中表现来构建上下文与分析意图。
- **执行(Execute)** — 通过运行查询、分析结果并随着假设被检验和新上下文出现而迭代来应用计划。
- **报告(Report)** — 无论结果如何都记录结果,包括发现、误报、可视性缺口和后续行动。
## 威胁狩猎的代理技能
为了支持这种演进,项目引入了 [Agent Skills](https://agentskills.io/home),以将威胁狩猎工作流表达为人类和 AI 代理都能一致遵循的形式。Agent Skills 将知识打包为带有有序步骤、模板和参考的显式工作流,使代理能够在最有价值的地方应用结构。
在本项目中,Agent Skills 用于通过以下工作流生成结构化的狩猎蓝图:
- 研究系统内部机制与对手技术
- 定义聚焦的狩猎假设
- 识别相关数据源
- 开发模拟对手行为的分析
- 组装用于执行的完整狩猎蓝图
有关这些工作流的详细演示和示例,请参阅配套的博客文章。
https://blog.openthreatresearch.com/evolving-the-threat-hunter-playbook-planning-hunts-with-agent-skills/
## 作者
* Roberto Rodriguez [@Cyb3rWard0g](https://twitter.com/Cyb3rWard0g)
* Jose Luis Rodriguez [@Cyb3rPandaH](https://twitter.com/Cyb3rPandaH)
## 感谢
* 我们通过 [Jupyter Book](https://jupyterbook.org/intro.html) 记录和分享内容,该工具由 [Sam Lau](http://www.samlau.me/) 和 [Chris Holdgraf](https://predictablynoisy.com/) 在 **UC Berkeley Data Science Education Program** 和 **[Berkeley Institute for Data Science](https://bids.berkeley.edu/)** 的支持下创建。
威胁狩猎手册是一个社区驱动的开源项目,专注于**记录威胁狩猎者在狩猎前、狩猎中和狩猎后的思考、计划和推理过程**。该项目以结构化的方式捕获对手的技术、检测逻辑和支撑资源,使威胁狩猎更有效且可重复。所有狩猎文档遵循 [MITRE ATT&CK](https://attack.mitre.org/) 的结构,将事后行为组织为战术组,并通过 [交互式 Jupyter 笔记本](https://docs.jupyter.org/en/latest/projects/architecture/content-architecture.html#the-jupyter-notebook-format) 表达。这些笔记本结合了 Markdown、分析、数据集和验证查询,允许将狩猎视为可执行文档以保留意图和推理过程——而不仅仅是结果,并可使用 [预记录的安全数据集](https://securitydatasets.com) 和 [BinderHub](https://mybinder.readthedocs.io/en/latest/index.html) 在本地或远程运行。
## 文档:https://threathunterplaybook.com/
## 目标
* 记录并分享威胁狩猎者如何计划、推理和构建整个生命周期的狩猎。
* 加快基于系统行为和对手技术的狩猎技术与假设的开发。
* 提供可重用的工作流程、模板和参考,以支持一致的狩猎计划与分析。
* 支持使用预记录的安全数据集在本地或云端环境进行验证与实验。
* 启用带人工监督的 AI 增强威胁狩猎工作流。
* 通过开源、社区驱动的资源加速学习与知识共享。
## 威胁狩猎作为框架
威胁狩猎手册围绕一个简单、可重复的生命周期构建,该生命周期基于对系统行为、对手技术和环境上下文的共同理解。该框架记录了狩猎的规划、执行和文档化方式,强调结构化与推理,而非临时调查。
从高层次来看,该框架包含三个阶段:
- **计划(Plan)** — 通过定义被狩猎的行为、假设、预期活动以及该行为如何在遥测中表现来构建上下文与分析意图。
- **执行(Execute)** — 通过运行查询、分析结果并随着假设被检验和新上下文出现而迭代来应用计划。
- **报告(Report)** — 无论结果如何都记录结果,包括发现、误报、可视性缺口和后续行动。
## 威胁狩猎的代理技能
为了支持这种演进,项目引入了 [Agent Skills](https://agentskills.io/home),以将威胁狩猎工作流表达为人类和 AI 代理都能一致遵循的形式。Agent Skills 将知识打包为带有有序步骤、模板和参考的显式工作流,使代理能够在最有价值的地方应用结构。
在本项目中,Agent Skills 用于通过以下工作流生成结构化的狩猎蓝图:
- 研究系统内部机制与对手技术
- 定义聚焦的狩猎假设
- 识别相关数据源
- 开发模拟对手行为的分析
- 组装用于执行的完整狩猎蓝图
有关这些工作流的详细演示和示例,请参阅配套的博客文章。
https://blog.openthreatresearch.com/evolving-the-threat-hunter-playbook-planning-hunts-with-agent-skills/
## 作者
* Roberto Rodriguez [@Cyb3rWard0g](https://twitter.com/Cyb3rWard0g)
* Jose Luis Rodriguez [@Cyb3rPandaH](https://twitter.com/Cyb3rPandaH)
## 感谢
* 我们通过 [Jupyter Book](https://jupyterbook.org/intro.html) 记录和分享内容,该工具由 [Sam Lau](http://www.samlau.me/) 和 [Chris Holdgraf](https://predictablynoisy.com/) 在 **UC Berkeley Data Science Education Program** 和 **[Berkeley Institute for Data Science](https://bids.berkeley.edu/)** 的支持下创建。标签:BinderHub, Cloudflare, MITRE ATT&CK, 事后分析, 可重复检测, 威胁情报, 威胁猎人, 安全数据科学, 安全数据集, 对手战术, 开发者工具, 开放威胁研究, 检测开发, 检测逻辑, 狩猎笔记本, 社区驱动, 逆向工具, 防御加固