當前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

威胁检测及威胁狩猎的工具、资源大合集

發布時間：2023/12/13 综合教程 31 生活家

生活随笔收集整理的這篇文章主要介紹了威胁检测及威胁狩猎的工具、资源大合集小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

Awesome Threat Detection and Hunting

威脅檢測及威脅狩獵的工具、資源大合集，翻譯和修改自awesome-threat-detection項目，感謝原作者的整理 :-)

工具

MITRE ATT&CK Navigator(source code)

ATT&CK Navigator是旨在提供ATT＆CK矩陣的基本導航和注釋，有點類似于Excel表格的形式

HELK

一個用于威脅狩獵的ELK (Elasticsearch, Logstash, Kibana)框架，集成了高級分析功能

osquery-configuration

一個使用osquery進行事件檢測和響應的存儲庫，是osquery Across Enterprise一文的配套內容
注：osquery是一個由FaceBook開源用于對系統進行查詢、監控以及分析的一款軟件。支持MacOS、CentOS、Ubuntu、Windows等操作系統[1]

DetectionLab

使用Vagrant＆Packer腳本，來構建包含安全工具和日志記錄的實驗環境，主要從防御者的角度進行設計，幫助快速構建一個具有安全工具的域環境
注：Vagrant＆Packer腳本，可以用于自動化虛擬機的安裝和配置流程，用來管理虛擬機

Sysmon-DFIR

一個用于學習Microsoft Sysmon來進行威脅檢測的資源清單
補：Microsoft Sysmon，是一個輕量級的系統監控工具，通過系統服務和驅動程序實現記錄進程創建、文件訪問以及網絡信息的記錄，并把相關的信息寫入并展示在windows的日志事件里[2]

sysmon-config

一個Microsoft Sysmon配置文件模板，帶有默認的高質量事件追蹤

sysmon-modular

一個Microsoft Sysmon配置模塊的存儲庫，包括從Sysmon配置到MITER ATT&CK技術框架的映射

Revoke-Obfuscation

一個Powershell的混淆檢測框架

Invoke-ATTACKAPI

一個PowerShell腳本，可通過其自己的API和MITER ATT&CK框架進行交互

Unfetter

提供了一個框架，用于從客戶端計算機（Windows 7）收集事件（進程創建，網絡連接，窗口事件日志等），并執行CAR分析來檢測潛在的攻擊者活動
補：CAR，Cyber Analytics Repository，網絡行為分析庫，"是MITER基于MITER ATT＆CK對手模型開發的分析知識庫，可以作為組織作為ATTCK進行行為檢測分析的起點"[2]。

Flare

一個網絡流量和行為的分析框架

RedHunt-OS

專門用于攻防對抗仿真（Adversary Emulation）和威脅狩獵的虛擬機。RedHunt的目標是通過整合攻擊者的武庫和防御者的工具包來主動識別環境中的威脅，來提供威脅仿真（Threat Emulation）和威脅狩獵所有需求的一站式服務

Oriana

基于Django構建的Windows環境下橫向移動及威脅狩獵工具，提供Docker鏡像。

~~Bro-Osquery~~

將Osquery的集成于Bro
該項目現已被Zeek Agent取代，包含前者的功能

Brosquery

一個幫助osquery加載Bro日志到osquery表中的模塊

DeepBlueCLI

一個PowerShell模塊，用于從Windows事件日志中進行威脅狩獵

Uncoder

一個在線的搜索/查詢轉換器，幫助SIEM轉換和保存搜索、過濾器、查詢語句、API請求、關聯和Sigma規則

Sigma

一個對SIEM系統的通用簽名格式，幫助基于SIEM的威脅檢測規則轉換

CimSweep

一套基于CIM / WMI的工具集，用于跨Windows系統版本來遠程執行事件響應和威脅狩獵操作

Dispatch

一個開源的安全威脅事件管理框架，由Netflix開源

EQL(Event Query Language)

事件查詢語句
EQLLib(The Event Query Language Analytics Library)

事件查詢語言分析庫（EQLLib）是基于事件的分析庫，使用EQL編寫，可以檢測基于MITER ATT＆CK™框架來識別攻擊者行為。

BZAR(Bro/Zeek ATT&CK-based Analytics and Reporting)

一個用于檢測ATT&CK技術的Zeek腳本集合
補：Zeek是一個網絡安全監控工具，類似于Bro

Security Onion

一個開源的Linux發行版，用于威脅狩獵，安全監視和日志管理。該發行版集成了ELK，Snort，Suricata，Zeek，Wazuh，Sguil和許多其他安全工具

Varna

一個快速、便宜的AWS無服務（注：Serverless）云安全工具，使用事件查詢語言（EQL）對CloudTrail日志進行解析和告警

BinaryAlert

一個服務器的開源AWS pipeline，用于實施的惡意軟件檢測溯源和告警

hollows_hunter

可用于掃描運行的全部進程，識別并轉儲其中各種潛在的惡意植入物，例如：已被替換/植入的PE、shellcode、hooks及內存布丁

ThreatHunting

一個可以映射MITRE ATT&CK框架的Splunk APP，可以用于指導威脅狩獵

Sentinel Attack

用于簡化Sysmon和ATT&CK框架在Azure Sentinel上進行威脅狩獵的快速部署

Brim- A desktop application to efficiently search large packet captures and Zeek logs

一個桌面應用程序，可以高效地搜索、查詢大型網絡數據包和Zeek日志信息

YARA

用于規則匹配的瑞士軍刀

Intel Owl

一種開源情報解決方案，可從單個API大規模獲取特定文件，IP或域名的相關威脅情報數據

Capa

一個用于識別可執行文件功能的開源工具

告警引擎

ElastAlert

基于ELK的框架，用于從Elasticsearch中的數據中發出異常、峰值或其他設定規則的警報

StreamAlert

一個無服務器的實時數據分析框架，幫助使用自定的數據源和邏輯從任何環境中提取，分析和告警數據

端點監控

osquery(github)

SQL語句驅動的操作系統編排、監控和分析工具

Kolide Fleet

一個彈性的、用于osquery隊列的控制服務器

Zeek Agent

用于對Zeek提供主機活動信息的端點監控agent

Velociraptor

用于端點可視化和收集的工具

Sysdig

一個用于深度挖掘Linux系統可見性的工具，支持容齊的原生支持。可以將其認為是strace + tcpdump + htop + iftop + lsof +...的整合

go-audit

一個Linux auditd守護進程的替代方法

Sysmon

一個Windows系統服務（設備驅動程序），用于監視系統活動并將其日志到Windows的事件日志中

OSSEC

一個開源的、基于主機的入侵檢測系統（HIDS）

WAZUH

一個開源的綜合安全平臺，用于威脅預防、檢測和響應。可以用于保護本地、虛擬機、容器及云端環境的工作負載
支持的功能：入侵檢測、日志數據分析、文件完整性監控、漏洞檢測、配置評估、事件響應、合規性、云安全、Docker安全

網絡監控

Zeek

一個網絡安全監控工具，前身為Bro

ntopng

一個基于Web的網絡流量監控工具

Suricata

一個網絡威脅監測引擎

Snort(github)

一個網絡入侵檢測工具

Joy

可用于網絡流量抓取、分析的整合包，可用于網絡調查、取證和安全監控

Netcap

可用于安全和可擴展性的網絡流量數據分析工具

Arkime

一個開源的、大型全流量數據包捕獲、搜索工具，前身為Moloch

Stenographer

一個全流量網絡數據包捕獲工具

指紋工具

JA3

一種分析 SSL/TLS 客戶端和服務器的方法

HASSH

SSH 客戶端和服務器的分析方法

RDFP

基于FATT（Fingerprint All The Things）的Zeek 遠程桌面指紋識別腳本

FATT

基于 pyshark 的腳本，用于從 pcap 文件和實時網絡流量中提取網絡元數據和指紋

FingerprintTLS

一種 TLS 指紋識別方法

Mercury

網絡指紋識別和數據包元數據捕獲

GQUIC_Protocol_Analyzer

適用于 Zeek 的 GQUIC 協議分析器

Recog

通過將指紋與從各種網絡探測器返回的數據進行匹配來識別產品、服務、操作系統和硬件的框架

Hfinger

用于惡意軟件識別的HTTP請求指紋

數據集

Security Datasets

以模擬攻防對抗技術出發，以JSON文件格式生成的各類安全事件數據集。數據按 Miter ATT&CK 框架定義的平臺、對手組、策略和技術進行分類
相關項目：The ThreatHunter-Playbook

SecRepo.com

安全相關的數據樣本
Github repo

SOC (BOTS) 數據集v1
SOC (BOTS) 數據集v2
SOC (BOTS) 數據集v3
EMBER

PE文件特征集，可作為研究人員的基準數據集
相關論文

theZoo

實時惡意軟件的存儲庫

CIC Datasets

加拿大網絡安全研究所的數據集

Netresec's PCAP repo list

公共網絡數據包存儲庫列表

PCAP-ATTACK

用于不同 ATT&CK 技術的網絡數據包樣本

EVTX-ATTACK-SAMPLES

與 ATT&CK技術相關的Windows 事件樣本 (EVTX-ATT&CK Sheet)

資源

Huntpedia

威脅狩獵知識綱領

Hunt Evil

威脅狩獵實用指南

The Hunter's Handbook

Endgame公司的威脅狩獵手冊（Handbook）

ThreatHunter-Playbook

威脅獵人的演練腳本，可以幫助開發用于威脅狩獵活動的技術和理論假設

The ThreatHunting Project

大量的狩獵案例和狩獵資源

CyberThreatHunting

威脅獵人的資源集合

Hunt-Detect-Prevent

用于追捕、檢測和阻止攻擊者的資源與實用工具

Alerting and Detection Strategy Framework

一個用于事件響應與威脅檢測的的警報、檢測策略框架

Generating Hypotheses for Successful Threat Hunting

探究自動化威脅狩獵的論文

Expert Investigation Guide - Threat Hunting

威脅狩獵指南

Active Directory Threat Hunting

基于活動目錄的威脅狩獵

Threat Hunting for Fileless Malware

對無文件攻擊技術的威脅狩獵方法

Windows Commands Abused by Attackers

被攻擊者濫用的Windows命令

Deception-as-Detection

與MITRE的ATT&CK框架對應的基于欺騙的檢測技術

On TTPs

深入淺出地講解什么是TTPs

Hunting On The Cheap（YouTube）

Endgame 的威脅研究團隊展示如何利用免費或幾乎免費的數據源和開源工具來進行”便宜的“的威脅狩獵，主要包括蜜罐、開源沙箱、被動DNS數據的使用等

Threat Hunting Techniques - AV, Proxy, DNS and HTTP Logs

對AV、代理、DNS 和 HTTP 日志進行威脅狩獵的技術

Detecting Malware Beacons Using Splunk

使用Splunk檢測惡意軟件信標

信標（Beacon）：定義為定期而非一次性的異常流量

Data Science Hunting Funnel

基于數據科學的威脅狩獵“漏斗”，用于說明數據科學在安全研究中的工作流程和應用方式

Use Python & Pandas to Create a D3 Force Directed Network Diagram

使用Python和Pandas創建D3力有向網絡圖

Syscall Auditing at Scale

大規模系統調用的審計方法

Catching attackers with go-audit and a logging pipeline

使用go-audit和日志記錄管道文件捕獲攻擊者
注：go-audit是auditd守護進程的一種替代方案，GitHub
注：該篇文章中的日志記錄管道文件指logstash與filebeat中的

The Coventry Conundrum of Threat Intelligence

威脅情報中的“考文垂”難題，指情報分析人員是有應該對所獲取的情報采取行動時面臨的問題，因為采取相應行動會向攻擊者暴露其所擁有的情報和相應能力
注：考文垂（Coventry Conundrum）一詞來自二戰中的一次事件，據推測，英國情報部門了解到考文垂市將遭到德國的大規模空襲。他們可以將即將到來的襲擊通知考文垂市并拯救該市的人民，但德國人會意識到這座城市已被疏散，這將通知他們英國人知道即將到來的襲擊，這可能使他們意識到英國人破解了 Enigma 密碼，這將導致他們使用 Enigma 以外的其他東西，這最終可能導致英國輸掉戰爭

Signal the ATT&CK: Part 1

使用Tanium構建實時威脅檢測功能，專注于記錄的對抗技術

SANS Summit Archives (DFIR,Cyber Defense)

威脅狩獵、藍隊和DFIR峰會的PPT

Bro-Osquery

使用開源軟件進行大規模主機和網絡監控

Malware Persistence

收集有關惡意軟件持久性的各種信息：檢測技術、響應方法、陷阱和日志收集（工具）

Threat Hunting with Jupyter Notebooks

使用 Jupyter Notebook 進行威脅狩獵

How Dropbox Security builds tools for threat detection and incident response

Dropbox Security 如何構建用于威脅檢測和事件響應的工具

Introducing Event Query Language

對事件查詢語言的介紹

The No Hassle Guide to Event Query Language (EQL) for Threat Hunting(PDF)

用于威脅搜尋的事件查詢語言 (EQL) 無障礙指南

Introducing the Funnel of Fidelity(PDF)

SpecterOps的威脅情報漏斗：Fidelity，用于描述檢測和相應過程的各個階段

Detection Spectrum(PDF)

SpecterOps的檢測光譜，側重于在Fidelity中的檢測檢測

Capability Abstraction(PDF)

SpecterOps的能力抽象，用于幫助了解們整體檢測程序的上下文

Awesome YARA

精選 YARA 規則、工具和資源列表

Defining ATT&CK Data Sources

一個由兩部分組成的博客系列，概述了擴展ATT&CK當前數據源的新方法

框架/模型

MITRE ATT&CK

針對行為的精心設計的知識庫和模型，反映了攻擊者生命周期的各個階段以及他們已知的目標

MITRE CAR

Cyber Analytics Repository (CAR) 是 MITRE 基于 Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) 對手模型開發的分析知識庫

Alerting and Detection Strategies Framework

用于開發告警和檢測策略的框架

A Simple Hunting Maturity Model

狩獵成熟度模型描述了組織狩獵能力的五個級別，范圍從 HMM0（最低能力）到 HMM4（最高能力）

The Pyramic of Pain

可用于檢測對手活動的指標類型之間的關系、評估情報價值

A Framework for Cyber Threat Hunting

狩獵成熟度模型的介紹手冊

The PARIS Model

PARIS威脅狩獵模型
注：因為其模型形狀類似于巴黎埃菲爾鐵塔而得名

Cyber Kill Chain

殺傷鏈模型，是Intelligence Driven Defense? 模型的一部分，用于識別和預防網絡入侵活動。該模型確定了對手必須完成哪些任務才能實現其目標，定義攻擊里程碑

The DML Model

檢測成熟度級別 (DML) 模型是一種能力成熟度模型，用于參考檢測網絡攻擊的成熟度

NIST Cybersecurity Framework

美國國家標準暨技術研究院（NIST）的網絡安全模型

OSSEM(Open Source Security Events Metadata)

一個開源社區主導的項目，專注于來自不同數據源和操作系統的安全事件日志的文檔和標準化

MITRE Shield

與ATT&CK模型相對應的主動防御技術和戰術的知識庫（Active Defense Matrix,主動防御矩陣）

基于DNS數據的威脅狩獵

Detecting DNS Tunneling

檢測DNS隱蔽隧道

Hunting the Known Unknowns (with DNS)

使用DNS數據發現已知與未知的安全威脅

Detecting dynamic DNS domains in Splunk

在Splunk中檢測使用動態DNS服務的域名

Random Words on Entropy and DNS

介紹在威脅狩獵過程中對DNS數據中的具有相對較高熵的域和子域進行檢測的過程

Tracking Newly Registered Domains

監測新注冊域名

Suspicious Domains Tracking Dashboard

可疑域名監測面板

Proactive Malicious Domain Search

借助證書透明度項目進行主動的惡意域名發現

DNS is NOT Boring

使用DNS數據發現和組織惡意攻擊

Actionable Detects

使用DNS數據進行防守的藍隊策略

命令與控制（C2）相關

Rise of Legitimate Services for Backdoor Command and Control

使用合法的互聯網服務作為命令和控制 (C2) 模式一部分的惡意軟件技術

Watch Your Containers

一種使用基于 DogeCoin的DGA生成 C2 域名的惡意軟件

Hiding in Plain Sight

一種濫用 Google DoH 的惡意軟件

All the DoH

使用DNS-over-HTTPS 的惡意軟件，Twitter貼文

Osquery

注：Osquery一個 SQL 驅動的操作系統檢測、監控和分析框架
osquery Across the Enterprise

使用Osquery進行企業安全檢測和威脅狩獵

osquery for Security — Part 1

Osquery教程-Part 1，本篇主要講解在企業安全環境下部署

osquery for Security?—?Part 2

Osquery教程-Part 2，本篇主要講解高級 osquery 功能、文件完整性監控、進程審計等

Tracking a stolen code-signing certificate with osquery

使用Osquery追蹤被竊取的證書簽名

Monitoring macOS hosts with osquery

使用Osquery監控macOS主機

Threat hunting with Kolide and osquery

使用使用Kolide Fleet進行威脅狩獵
注：Kolide Fleet 是一個靈活的控制服務器，可用于管理Osquery隊列

Windows

Threat Hunting via Windows Event Logs

通過 Windows 事件日志進行威脅追蹤

Windows Logging Cheat Sheets

調查受感染系統時可以重點關注的的Windows日志路徑，備忘清單

Active Directory Threat Hunting

在Windows活動目錄中

Windows Hunting

整理在Windows系統中進行威脅狩獵的常見

Windows Commands Abused by Attackers

被攻擊者濫用的Windows命令

JPCERT - Detecting Lateral Movement through Tracking Event Logs

通過跟蹤事件日志檢測攻擊者的橫向滲透

Tool Analysis Result Sheet

總結了49種常用于滲透的工具在執行后，對應在Windows中的日志

Sysmon

注：Sysmon是微軟的一款輕量級的系統監控工具，它通過系統服務和驅動程序實現記錄進程創建、文件訪問以及網絡信息的記錄，并把相關的信息寫入并展示在windows的日志事件里

Splunking the Endpoint: Threat Hunting with Sysmon

Hunting with Sysmon
基于Sysmon進行威脅狩獵

Threat Hunting with Sysmon: Word Document with Macro

基于Sysmon狩獵帶有宏的Word文檔

Chronicles of a Threat Hunter: Hunting for In-Memory Mimikatz with Sysmon and ELK

Part I (Event ID 7)
Part II (Event ID 10)
使用Sysmon和ELK發現內存中的 Mimikatz

Advanced Incident Detection and Threat Hunting using Sysmon (and Splunk) (botconf 2016 Slides,FIRST 2017 Slides)

使用 Sysmon和Splunk進行高級事件檢測和狩獵

Sysmon Threat Detection Guide(PDF)

Sysmon威脅分析指南

PowerShell

Revoke-Obfuscation: PowerShell Obfuscation Detection Using Science (Paper,Slides)

使用數據科學進行PowerShell混淆檢測

Hunting the Known Unknowns (With PowerShell)

使用PowerShell進行威脅狩獵

HellsBells, Let's Hunt PowerShells!

檢測PowerShell的一些方法和技巧

Hunting for PowerShell Using Heatmaps

可視化（熱圖）狩獵PowerShell

指紋

JA3: SSL/TLS Client Fingerprinting for Malware Detection

使用JA3指紋進行惡意軟件檢測
注：JA3指紋屬于SSL/TLS協商指紋，其計算所需字段從協商信息中獲取，用于在流量層識別特定客戶端與服務器之間的加密通訊

TLS Fingerprinting with JA3 and JA3S

對JA3/JA3S指紋計算原理及應用場景的講解

HASSH - a profiling method for SSH Clients and Servers

HASSH @BSides Canberra 2019 - Slides
HASSH，對SSH協議進行流量層指紋識別的一個方案

Finding Evil on the Network Using JA3/S and HASSH

使用JA3/JA3S和HASSH進行威脅狩獵的演講

RDP Fingerprinting - Profiling RDP Clients with JA3 and RDFP

使用JA3和RDFP識別RDP客戶端

Effective TLS Fingerprinting Beyond JA3

在JA3計算的基礎上，提出了的優化方向，包括使用ALPN（應用層協議協商）和客戶端支持的TLS協議版本

TLS Fingerprinting in the Real World

對TLS指紋的業務場景介紹

HTTP Client Fingerprinting Using SSL Handshake Analysis(source code:mod_sslhaf)

基于SSL協商進行HTTP指紋的識別

TLS fingerprinting - Smarter Defending & Stealthier Attacking

介紹TLS指紋的定義和工具（包括FingerprinTLS和Fingerprintout）

JA3er

JA3指紋庫

An Introduction to HTTP fingerprinting

對HTTP指紋的簡介

TLS Fingerprints

從科羅拉多大學博爾德校區網絡收集的TLS指紋

The use of TLS in Censorship Circumvention

論文，TLS在規避審查中的應用

TLS Beyond the Browser: Combining End Host and Network Data to Understand Application Behavior

論文，結合終端主機和網絡數據來了解應用程序行為

HTTPS traffic analysis and client identification using passive SSL/TLS fingerprinting

論文，使用被動SSL/TLS指紋識別的HTTPS流量分析進行客戶端識別

Markov Chain Fingerprinting to Classify Encrypted Traffic

論文，使用馬爾可夫鏈指紋（Markov Chain Fingerprinting）對加密流量進行分類

HeadPrint: Detecting Anomalous Communications through Header-based Application Fingerprinting

論文，通過基于標題的應用程序指紋檢測異常通信

研究報告

Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
論文，通過分析對抗行為和入侵殺傷鏈進行情報驅動的計算機網絡防護
The Diamond Model of Intrusion Analysis
論文，入侵分析的鉆石模型
EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis
論文，通過被動DNS（Passive DNS）分析查找惡意域名
A Comprehensive Approach to Intrusion Detection Alert Correlation (Paper,Dissertation)
論文，入侵檢測告警關聯的綜合方法
On Botnets that use DNS for Command and Control
使用DNS進行C2的僵尸網絡
Intelligent, Automated Red Team Emulation
論文，自動化紅隊模擬
Machine Learning for Encrypted Malware Traffic Classification
論文，用于加密惡意軟件流量分類的機器學習

References

[1] Osquery檢測入侵痕跡,EvilAnne, https://evilanne.github.io/2019/02/20/Osquery%E6%A3%80%E6%B5%8B%E5%85%A5%E4%BE%B5%E7%97%95%E8%BF%B9/

[2] 微軟輕量級系統監控工具sysmon原理與實現完全分析（上篇）,浪子_三少, https://www.anquanke.com/post/id/156704

[3] 甲方視角淺析MITRE ATT&CK ，chiweiwei，https://www.freebuf.com/articles/es/249278.html

總結

以上是生活随笔為你收集整理的威胁检测及威胁狩猎的工具、资源大合集的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：定时任务卡死问题排查
下一篇：【转】Java压缩和解压文件工具类Zip

生活随笔

生活随笔

综合教程

威胁检测及威胁狩猎的工具、资源大合集

Awesome Threat Detection and Hunting

目錄

工具

告警引擎

端點監控

網絡監控

指紋工具

數據集

資源

框架/模型

基于DNS數據的威脅狩獵

命令與控制（C2）相關

Osquery

Windows

Sysmon

PowerShell

指紋

研究報告

相關博客

相關視頻

相關課程

References

總結