news 2026/6/15 15:01:57

终极威胁狩猎指南:Osquery-ATTCK如何映射MITRE ATTCK矩阵?

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
终极威胁狩猎指南:Osquery-ATTCK如何映射MITRE ATTCK矩阵?

终极威胁狩猎指南:Osquery-ATT&CK如何映射MITRE ATT&CK矩阵?

【免费下载链接】osquery-attckMapping the MITRE ATT&CK Matrix with Osquery项目地址: https://gitcode.com/gh_mirrors/os/osquery-attck

Osquery-ATT&CK是一个专为企业威胁狩猎设计的开源项目,旨在通过Osquery将MITRE ATT&CK矩阵映射到实际的安全检测中。每个配置文件都是一个查询包,可直接用于企业级威胁狩猎,帮助安全团队更精准地识别和响应潜在威胁。

什么是Osquery-ATT&CK?

Osquery-ATT&CK的核心目标是将MITRE ATT&CK框架与Osquery强大的系统查询能力相结合。通过预定义的查询包,安全分析师可以轻松监控系统活动,检测恶意行为模式,并与ATT&CK框架中的战术和技术建立直接关联。

Windows系统检测方案

注册表监控:windows-registry-monitoring.conf

这个查询包专注于跟踪注册表变化以检测恶意软件持久性。它监控MITRE ATT&CK框架中与持久性相关的注册表路径,例如T1015(注册表运行键)、T1138(应用程序垫片)等多种技术。

异常进程检测

  • windows-incorrect_parent_process.conf:检测攻击者或恶意软件是否以恶意方式执行合法进程
  • windows-incorrect_path_process.conf:识别在异常路径中执行的合法进程,这通常是可疑行为的标志
  • windows-process_no_disk_binary.conf:检索没有磁盘二进制文件的进程事件,这类进程往往与内存马或无文件攻击相关

持久化机制监控

  • windows_persistence-startup_items.conf:监控系统启动时自动运行的程序(映射ATT&CK T1060)
  • windows_service-persistence.conf:检测自动启动的服务(映射ATT&CK T1050)
  • windows_scheduled_tasks.conf:检索系统计划任务,发现潜在的定时恶意活动(映射ATT&CK T1053)

Linux系统检测方案

网络连接监控:linux_network_connections.conf

这个查询包不仅检索系统网络连接和监听端口,还能检测可能的反向shell,映射了包括T1105(远程文件复制)、T1071(应用层协议)等在内的多种ATT&CK技术。

用户与进程监控

  • linux_running_processes.conf:获取系统运行进程列表,帮助识别异常进程活动
  • linux_users_check.conf:监控用户账户创建、删除以及登录活动(映射ATT&CK T1136和T1078)
  • linux_command_execution.conf:检索各用户的shell历史记录,追踪可疑命令执行

系统持久化检测

  • linux_local_job_scheduling.conf:监控Cron任务调度,检测恶意定时任务(映射ATT&CK T1168)
  • linux_kernel_modules_and_extensions.conf:检测Linux系统内核模块的加载、卸载和操作(映射ATT&CK T1215)

ATT&CK映射概览

Osquery-ATT&CK的每个查询包都与MITRE ATT&CK框架中的特定技术直接对应。例如:

  • windows-registry-monitoring.conf映射了T1015、T1138、T1037等11种不同的ATT&CK技术
  • windows_anomaly_process-execution.conf则涵盖了T1191、T1118、T1059等多达28种技术
  • linux_network_connections.conf关联了T1105、T1071、T1219等20余种网络相关攻击技术

如何开始使用?

  1. 克隆仓库:git clone https://gitcode.com/gh_mirrors/os/osquery-attck
  2. 根据目标操作系统选择相应的查询包(Windows或Linux目录下)
  3. 将配置文件部署到Osquery环境中
  4. 将查询结果发送到ELK或Splunk等SIEM系统进行关联分析和告警

注意:每个配置文件的查询间隔尚未优化,建议先在测试环境中进行测试和调整。对于linux_relevant_folder_check.conf,需要根据具体环境需求调整WHERE子句。

Osquery-ATT&CK项目仍在不断发展中,欢迎安全社区贡献建议和改进,共同完善这个强大的威胁狩猎工具集!

【免费下载链接】osquery-attckMapping the MITRE ATT&CK Matrix with Osquery项目地址: https://gitcode.com/gh_mirrors/os/osquery-attck

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/15 15:00:05

SpringBoot项目里用人大金仓Kingbase8,我踩过的那些坑和填坑指南

SpringBoot整合人大金仓Kingbase8实战避坑指南第一次在SpringBoot项目里接入人大金仓数据库时,我天真地以为这不过是个普通的JDBC配置过程。直到项目启动时控制台不断抛出的异常,才让我意识到国产数据库的适配远没有想象中简单。本文将分享我在实际项目中…

作者头像 李华
网站建设 2026/6/15 14:58:46

基于 PPO 策略的决策/规划运算法

基于 PPO 策略的强化学习运动轨迹规划 摘要 本文介绍一种基于 Frenet 坐标系采样规划器与强化学习相结合的混合轨迹规划方法。该方法并不让强化学习智能体直接输出转向角或加速度,而是让智能体动态调节解析轨迹规划器中的成本权重,从而在保留传统规划器…

作者头像 李华
网站建设 2026/6/15 14:58:07

深入解析串行通信控制器SCC:从BISYNC到以太网的硬件协议处理

1. 项目概述与SCC核心价值在嵌入式系统,尤其是那些需要处理多种通信协议的工业控制、网络设备中,CPU的资源是极其宝贵的。想象一下,如果每次收到一个字节的数据、每发送一个数据包,都需要CPU亲自去处理帧头校验、CRC计算、冲突检测…

作者头像 李华
网站建设 2026/6/15 14:55:51

英雄联盟智能工具箱完整指南:5分钟快速上手LCU自动化工具

英雄联盟智能工具箱完整指南:5分钟快速上手LCU自动化工具 【免费下载链接】League-Toolkit An all-in-one toolkit for LeagueClient. Gathering power 🚀. 项目地址: https://gitcode.com/gh_mirrors/le/League-Toolkit League-Toolkit是一款基于…

作者头像 李华