Awesome Threat Detection and Hunting
威胁检测及威胁狩猎的工具、资源大合集,翻译和修改自awesome-threat-detection项目,感谢原作者的整理 :-)
目录
工具
-
MITRE ATT&CK Navigator(source code)
- ATT&CK Navigator是旨在提供ATT&CK矩阵的基本导航和注释,有点类似于Excel表格的形式
-
HELK
- 一个用于威胁狩猎的ELK (Elasticsearch, Logstash, Kibana)框架,集成了高级分析功能
-
osquery-configuration
- 一个使用osquery进行事件检测和响应的存储库,是osquery Across Enterprise一文的配套内容
- 注:osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。 支持
MacOS、CentOS、Ubuntu、Windows等操作系统[1]
-
DetectionLab
- 使用Vagrant&Packer脚本,来构建包含安全工具和日志记录的实验环境,主要从防御者的角度进行设计,帮助快速构建一个具有安全工具的域环境
- 注:Vagrant&Packer脚本,可以用于自动化虚拟机的安装和配置流程,用来管理虚拟机
-
Sysmon-DFIR
- 一个用于学习Microsoft Sysmon来进行威胁检测的资源清单
- 补:Microsoft Sysmon,是一个轻量级的系统监控工具,通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里[2]
-
sysmon-config
- 一个Microsoft Sysmon配置文件模板,带有默认的高质量事件追踪
-
sysmon-modular
- 一个Microsoft Sysmon配置模块的存储库,包括从Sysmon配置到MITER ATT&CK技术框架的映射
-
Revoke-Obfuscation
- 一个Powershell的混淆检测框架
-
Invoke-ATTACKAPI
- 一个PowerShell脚本,可通过其自己的API和MITER ATT&CK框架进行交互
- Unfetter
-
Flare
- 一个网络流量和行为的分析框架
-
RedHunt-OS
- 专门用于攻防对抗仿真(Adversary Emulation)和威胁狩猎的虚拟机。RedHunt的目标是通过整合攻击者的武库和防御者的工具包来主动识别环境中的威胁,来提供威胁仿真(Threat Emulation)和威胁狩猎所有需求的一站式服务
-
Oriana
- 基于Django构建的Windows环境下横向移动及威胁狩猎工具,提供Docker镜像。
- ~~Bro-Osquery~~
- 将Osquery的集成于Bro
- 该项目现已被Zeek Agent取代,包含前者的功能
-
Brosquery
- 一个帮助osquery加载Bro日志到osquery表中的模块
-
DeepBlueCLI
- 一个PowerShell模块,用于从Windows事件日志中进行威胁狩猎
-
Uncoder
- 一个在线的搜索/查询转换器,帮助SIEM转换和保存搜索、过滤器、查询语句、API请求、关联和Sigma规则