Skip to content

Awesome Threat Detection and Hunting

基于awesome-threat-detection

目录

工具

  • MITRE ATT&CK Navigator(source code)
    • ATT&CK Navigator是旨在提供ATT&CK矩阵的基本导航和注释,有点类似于Excel表格的形式
  • HELK
    • 一个用于威胁狩猎的ELK (Elasticsearch, Logstash, Kibana)框架,集成了高级分析功能
  • osquery-configuration
    • 一个使用osquery进行事件检测和响应的存储库,是osquery Across Enterprise一文的配套内容
    • 注:osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。 支持MacOSCentOSUbuntuWindows等操作系统[1]
  • DetectionLab
    • 使用Vagrant&Packer脚本,来构建包含安全工具和日志记录的实验环境,主要从防御者的角度进行设计,帮助快速构建一个具有安全工具的域环境
    • 注:Vagrant&Packer脚本,可以用于自动化虚拟机的安装和配置流程,用来管理虚拟机
  • Sysmon-DFIR
    • 一个用于学习Microsoft Sysmon来进行威胁检测的资源清单
    • 补:Microsoft Sysmon,是一个轻量级的系统监控工具,通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里[2]
  • sysmon-config
    • 一个Microsoft Sysmon配置文件模板,带有默认的高质量事件追踪
  • sysmon-modular
    • 一个Microsoft Sysmon配置模块的存储库,包括从Sysmon配置到MITER ATT&CK技术框架的映射
  • Revoke-Obfuscation
    • 一个Powershell的混淆检测框架
  • Invoke-ATTACKAPI
    • 一个PowerShell脚本,可通过其自己的API和MITER ATT&CK框架进行交互
  • Unfetter
    • 提供了一个框架,用于从客户端计算机(Windows 7)收集事件(进程创建,网络连接,窗口事件日志等),并执行CAR分析来检测潜在的攻击者活动
    • 补:CAR,Cyber Analytics Repository,网络行为分析库,"是MITER基于MITER ATT&CK对手模型开发的分析知识库,可以作为组织作为ATTCK进行行为检测分析的起点"[2]。
  • Flare
    • 一个网络流量和行为的分析框架
  • RedHunt-OS
    • 专门用于攻防对抗仿真(Adversary Emulation)和威胁狩猎的虚拟机。RedHunt的目标是通过整合攻击者的武库和防御者的工具包来主动识别环境中的威胁,来提供威胁仿真(Threat Emulation)和威胁狩猎所有需求的一站式服务
  • Oriana
    • 基于Django构建的Windows环境下横向移动及威胁狩猎工具,提供Docker镜像。
  • ~~Bro-Osquery~~
    • 将Osquery的集成于Bro
    • 该项目现已被Zeek Agent取代,包含前者的功能
  • Brosquery
    • 一个帮助osquery加载Bro日志到osquery表中的模块
  • DeepBlueCLI
    • 一个PowerShell模块,用于从Windows事件日志中进行威胁狩猎
  • Uncoder
    • 一个在线的搜索/查询转换器,帮助SIEM转换和保存搜索、过滤器、查询语句、API请求、关联和Sigma规则
  • 🌟Sigma
    • 一个对SIEM系统的通用签名格式,帮助基于SIEM的威胁检测规则转换
  • CimSweep
    • 一套基于CIM / WMI的工具集,用于跨Windows系统版本来远程执行事件响应和威胁狩猎操作
  • Dispatch
    • 一个开源的安全威胁事件管理框架,由Netflix开源
  • EQL(Event Query Language)
    • 事件查询语句
    • EQLLib(The Event Query Language Analytics Library)
      • 事件查询语言分析库(EQLLib)是基于事件的分析库,使用EQL编写,可以检测基于MITER ATT&CK™框架来识别攻击者行为。
  • BZAR (Bro/Zeek ATT&CK-based Analytics and Reporting)
    • 一个用于检测ATT&CK技术的Zeek脚本集合
    • 补:Zeek是一个网络安全监控工具,类似于Bro
  • Security Onion
    • 一个开源的Linux发行版,用于威胁狩猎,安全监视和日志管理。该发行版集成了ELK,Snort,Suricata,Zeek,Wazuh,Sguil和许多其他安全工具
  • Varna
    • 一个快速、便宜的AWS无服务(注:Serverless)云安全工具,使用事件查询语言(EQL)对CloudTrail日志进行解析和告警
  • BinaryAlert
    • 一个服务器的开源AWS pipeline,用于实施的恶意软件检测溯源和告警
  • hollows_hunter
    • 可用于扫描运行的全部进程,识别并转储其中各种潜在的恶意植入物,例如:已被替换/植入的PE、shellcode、hooks及内存布丁
  • ThreatHunting
    • 一个可以映射MITRE ATT&CK框架的Splunk APP,可以用于指导威胁狩猎
  • Sentinel Attack
    • 用于简化Sysmon和ATT&CK框架在Azure Sentinel上进行威胁狩猎的快速部署
  • Brim - A desktop application to efficiently search large packet captures and Zeek logs
    • 一个桌面应用程序,可以高效地搜索、查询大型网络数据包和Zeek日志信息
  • YARA
    • 用于规则匹配的瑞士军刀
  • Intel Owl
    • 一种开源情报解决方案,可从单个API大规模获取特定文件,IP或域名的相关威胁情报数据
  • Capa
    • 一个用于识别可执行文件功能的开源工具

告警引擎

  • ElastAlert
    • 基于ELK的框架,用于从Elasticsearch中的数据中发出异常、峰值或其他设定规则的警报
  • StreamAlert
    • 一个无服务器的实时数据分析框架,帮助使用自定的数据源和逻辑从任何环境中提取,分析和告警数据

端点监控

  • osquery (github)
    • SQL语句驱动的操作系统编排、监控和分析工具
  • Kolide Fleet
    • 一个弹性的、用于osquery队列的控制服务器
  • Zeek Agent
    • 用于对Zeek提供主机活动信息的端点监控agent
  • Velociraptor
    • 用于端点可视化和收集的工具
  • Sysdig
    • 一个用于深度挖掘Linux系统可见性的工具,支持容齐的原生支持。可以将其认为是strace + tcpdump + htop + iftop + lsof +...的整合
  • go-audit
    • 一个Linux auditd守护进程的替代方法
  • Sysmon
    • 一个Windows系统服务(设备驱动程序),用于监视系统活动并将其日志到Windows的事件日志中
  • OSSEC
    • 一个开源的、基于主机的入侵检测系统(HIDS)
  • 🌟WAZUH
    • 一个开源的综合安全平台,用于威胁预防、检测和响应。可以用于保护本地、虚拟机、容器及云端环境的工作负载
    • 支持的功能:入侵检测、日志数据分析、文件完整性监控、漏洞检测、配置评估、事件响应、合规性、云安全、Docker安全

网络监控

  • Zeek
    • 一个网络安全监控工具,前身为Bro
  • ntopng
    • 一个基于Web的网络流量监控工具
  • Suricata
    • 一个网络威胁监测引擎
  • Snort (github)
    • 一个网络入侵检测工具
  • Joy
    • 可用于网络流量抓取、分析的整合包,可用于网络调查、取证和安全监控
  • Netcap
    • 可用于安全和可扩展性的网络流量数据分析工具
  • 🌿Arkime
    • 一个开源的、大型全流量数据包捕获、搜索工具,前身为Moloch
  • Stenographer
    • 一个全流量网络数据包捕获工具

指纹工具

  • JA3
    • 一种分析 SSL/TLS 客户端和服务器的方法
  • HASSH
    • SSH 客户端和服务器的分析方法
  • RDFP
    • 基于FATT(Fingerprint All The Things)的Zeek 远程桌面指纹识别脚本
  • FATT
    • 基于 pyshark 的脚本,用于从 pcap 文件和实时网络流量中提取网络元数据和指纹
  • FingerprintTLS
    • 一种 TLS 指纹识别方法
  • Mercury
    • 网络指纹识别和数据包元数据捕获
  • GQUIC_Protocol_Analyzer
    • 适用于 Zeek 的 GQUIC 协议分析器
  • Recog
    • 通过将指纹与从各种网络探测器返回的数据进行匹配来识别产品、服务、操作系统和硬件的框架
  • Hfinger
    • 用于恶意软件识别的HTTP请求指纹

数据集

资源

框架/模型

  • MITRE ATT&CK
    • 针对行为的精心设计的知识库和模型,反映了攻击者生命周期的各个阶段以及他们已知的目标
  • MITRE CAR
    • Cyber Analytics Repository (CAR) 是 MITRE 基于 Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) 对手模型开发的分析知识库
  • Alerting and Detection Strategies Framework
    • 用于开发告警和检测策略的框架
  • A Simple Hunting Maturity Model
    • 狩猎成熟度模型描述了组织狩猎能力的五个级别,范围从 HMM0(最低能力)到 HMM4(最高能力)
  • The Pyramic of Pain
    • 可用于检测对手活动的指标类型之间的关系、评估情报价值
  • A Framework for Cyber Threat Hunting
    • 狩猎成熟度模型的介绍手册
  • The PARIS Model
    • PARIS威胁狩猎模型
    • 注:因为其模型形状类似于巴黎埃菲尔铁塔而得名
  • Cyber Kill Chain
    • 杀伤链模型,是Intelligence Driven Defense® 模型的一部分,用于识别和预防网络入侵活动。该模型确定了对手必须完成哪些任务才能实现其目标,定义攻击里程碑
  • The DML Model
    • 检测成熟度级别 (DML) 模型是一种能力成熟度模型,用于参考检测网络攻击的成熟度
  • NIST Cybersecurity Framework
    • 美国国家标准暨技术研究院(NIST)的网络安全模型
  • OSSEM (Open Source Security Events Metadata)
    • 一个开源社区主导的项目,专注于来自不同数据源和操作系统的安全事件日志的文档和标准化
  • MITRE Shield

基于DNS数据的威胁狩猎

命令与控制(C2)相关

Osquery

Windows

Sysmon

PowerShell

指纹

研究报告

相关博客

相关视频

相关课程

References

[1] Osquery检测入侵痕迹, EvilAnne, https://evilanne.github.io/2019/02/20/Osquery%E6%A3%80%E6%B5%8B%E5%85%A5%E4%BE%B5%E7%97%95%E8%BF%B9/

[2] 微软轻量级系统监控工具sysmon原理与实现完全分析(上篇), 浪子_三少, https://www.anquanke.com/post/id/156704

[3] 甲方视角浅析MITRE ATT&CK ,chiweiwei ,https://www.freebuf.com/articles/es/249278.html