ThreatHunt – это простой репозиторий PowerShell, который позволяет обучать навыкам поиска угроз.
ThreatHunt позволяет имитировать различные методы и процедуры атаки без использования вредоносных файлов.
Это не инструмент или инфраструктура системы проникновения, а очень простой способ оповещения о безопасности, который поможет вам обучить систему навыкам поиска угроз.
Сценарий применения
Допустим, вы только начали свою карьеру хантинга за угрозами или вы уже охотились за угрозами, но ваша организация внедрила Endpoint Detection Response (EDR) или SIEM.
В обоих случаях вам понадобится безопасная гавань, в которой вы сможете подавать предупреждения о безопасности и приступить к анализу данных.
Вот где ThreatHunt может пригодиться, так как у него нет никаких вредоносных файлов, и он просто имитирует множество подозрительных действий.
Установка
Требования
- ThreatHunt был протестирован на Windows 10 1809+. Однако вполне вероятно, что он будет работать с большинством версий Windows 10.
- Скрипт основан на пакете Microsoft Defender ATP (защита от атак, антивирус и Endpoint Detection Response (EDR).
- ThreatHunt не учит вас взлому. Поэтому для некоторых сценариев необходимо указывать учетные данные домена (имя пользователя, пароль), диапазоны IP-адресов и учетные данные электронной почты O365 (адрес электронной почты и пароль).
Скачать
git clone https://github.com/MiladMSFT/ThreatHunt.git
Использование
