当前位置: 首页 > news >正文

终极威胁狩猎指南:Osquery-ATTCK如何映射MITRE ATTCK矩阵?

news 2026/6/15 15:09:21

终极威胁狩猎指南:Osquery-ATT&CK如何映射MITRE ATT&CK矩阵?

【免费下载链接】osquery-attckMapping the MITRE ATT&CK Matrix with Osquery项目地址: https://gitcode.com/gh_mirrors/os/osquery-attck

Osquery-ATT&CK是一个专为企业威胁狩猎设计的开源项目,旨在通过Osquery将MITRE ATT&CK矩阵映射到实际的安全检测中。每个配置文件都是一个查询包,可直接用于企业级威胁狩猎,帮助安全团队更精准地识别和响应潜在威胁。

什么是Osquery-ATT&CK?

Osquery-ATT&CK的核心目标是将MITRE ATT&CK框架与Osquery强大的系统查询能力相结合。通过预定义的查询包,安全分析师可以轻松监控系统活动,检测恶意行为模式,并与ATT&CK框架中的战术和技术建立直接关联。

Windows系统检测方案

注册表监控:windows-registry-monitoring.conf

这个查询包专注于跟踪注册表变化以检测恶意软件持久性。它监控MITRE ATT&CK框架中与持久性相关的注册表路径,例如T1015(注册表运行键)、T1138(应用程序垫片)等多种技术。

异常进程检测

  • windows-incorrect_parent_process.conf:检测攻击者或恶意软件是否以恶意方式执行合法进程
  • windows-incorrect_path_process.conf:识别在异常路径中执行的合法进程,这通常是可疑行为的标志
  • windows-process_no_disk_binary.conf:检索没有磁盘二进制文件的进程事件,这类进程往往与内存马或无文件攻击相关

持久化机制监控

  • windows_persistence-startup_items.conf:监控系统启动时自动运行的程序(映射ATT&CK T1060)
  • windows_service-persistence.conf:检测自动启动的服务(映射ATT&CK T1050)
  • windows_scheduled_tasks.conf:检索系统计划任务,发现潜在的定时恶意活动(映射ATT&CK T1053)

Linux系统检测方案

网络连接监控:linux_network_connections.conf

这个查询包不仅检索系统网络连接和监听端口,还能检测可能的反向shell,映射了包括T1105(远程文件复制)、T1071(应用层协议)等在内的多种ATT&CK技术。

用户与进程监控

  • linux_running_processes.conf:获取系统运行进程列表,帮助识别异常进程活动
  • linux_users_check.conf:监控用户账户创建、删除以及登录活动(映射ATT&CK T1136和T1078)
  • linux_command_execution.conf:检索各用户的shell历史记录,追踪可疑命令执行

系统持久化检测

  • linux_local_job_scheduling.conf:监控Cron任务调度,检测恶意定时任务(映射ATT&CK T1168)
  • linux_kernel_modules_and_extensions.conf:检测Linux系统内核模块的加载、卸载和操作(映射ATT&CK T1215)

ATT&CK映射概览

Osquery-ATT&CK的每个查询包都与MITRE ATT&CK框架中的特定技术直接对应。例如:

  • windows-registry-monitoring.conf映射了T1015、T1138、T1037等11种不同的ATT&CK技术
  • windows_anomaly_process-execution.conf则涵盖了T1191、T1118、T1059等多达28种技术
  • linux_network_connections.conf关联了T1105、T1071、T1219等20余种网络相关攻击技术

如何开始使用?

  1. 克隆仓库:git clone https://gitcode.com/gh_mirrors/os/osquery-attck
  2. 根据目标操作系统选择相应的查询包(Windows或Linux目录下)
  3. 将配置文件部署到Osquery环境中
  4. 将查询结果发送到ELK或Splunk等SIEM系统进行关联分析和告警

注意:每个配置文件的查询间隔尚未优化,建议先在测试环境中进行测试和调整。对于linux_relevant_folder_check.conf,需要根据具体环境需求调整WHERE子句。

Osquery-ATT&CK项目仍在不断发展中,欢迎安全社区贡献建议和改进,共同完善这个强大的威胁狩猎工具集!

【免费下载链接】osquery-attckMapping the MITRE ATT&CK Matrix with Osquery项目地址: https://gitcode.com/gh_mirrors/os/osquery-attck

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

http://www.gsyq.cn/news/1529290.html

相关文章:

  • 真实探店|2026 广州增城热门代理记账,小规模代账性价比测评 - 资讯综合站
  • 深入解析多核DSP架构:从MSC8113看通信、总线与内存协同设计
  • Mac清理神器Pearcleaner:3步彻底卸载应用,释放30%磁盘空间
  • 英雄联盟全能助手:3个核心功能让你游戏体验飞跃式提升
  • 太原市开利中央空调维修师傅电话|各区金牌师傅,靠谱选欧米到家 - 欧米到家
  • 杭州钱塘区主打职教高考技能提分,杭州华浙培训学校赋能学子高考领跑 - 弱书讲升学
  • Ohook:免费解锁Microsoft 365完整功能的终极指南
  • SAP S4 HANA过账报错FINS_ACDOC_CUST201?手把手教你配置‘CO版本分配分类账’
  • 2026 广州积家回收渠道全实测:添价收登顶,大师 / 约会系列变现不踩坑 - 薛定谔的梨花猫
  • Type-Fest 中的类型重构:如何优化现有类型定义
  • 别再被‘Cannot negotiate’卡住!手把手教你修复ganymed-ssh2连接Linux的算法冲突
  • 解锁音乐自由:5分钟掌握Unlock-Music终极音频转换技巧
  • HandheldCompanion终极指南:让Windows掌机游戏体验全面提升的免费神器
  • 技术背景产品经理的优势与挑战:从代码思维到商业思维的转型路径
  • Kodus-AI未来展望:AI代码审查的技术演进路线
  • Type-Fest 中的类型别名与接口:何时使用何种方式
  • 2026年长沙大学生求职辅导哪家专业 - 年度推荐企业名录
  • MPC8533E UPM深度解析:从RAM字编程到SDRAM接口设计实战
  • Intel优化手册代码示例中的数学函数优化:平方根与倒数计算终极指南
  • MSC8113 DMA控制器深度解析:从基础原理到实战优化
  • 如何用Brigadier实现Mac Boot Camp自动化驱动安装
  • 别死记硬背了!用观察者、策略模式搞定软考UML设计题(附2022/2023真题详解)
  • DLSS Swapper完整指南:一键智能切换游戏DLSS版本,彻底释放显卡性能潜力
  • Rocky Linux 9上安装MySQL 8.0报错‘GPG key already installed’?手把手教你两步修复
  • JTAG与边界扫描技术实战:从核心原理到MSC711x DSP调试应用
  • 3PEAK思瑞浦 TPR8200-EV1R EMSOP8 特殊功能电路
  • MPC860中断系统深度解析:从并行I/O到CPIC的实时响应设计
  • 澳洲出生证海牙认证时间?别等过期才后悔! - 慧办好
  • 计算机组成原理实验避坑指南:MIPS寄存器文件设计常见错误与调试方法
  • 小旋风模板 + 泛程序生成工具