Adversary Emulation Library 使用教程

Adversary Emulation Library 使用教程

adversary_emulation_library An open library of adversary emulation plans designed to empower organizations to test their defenses based on real-world TTPs. 项目地址: https://gitcode.com/gh_mirrors/ad/adversary_emulation_library

1. 项目介绍

Adversary Emulation Library 是由 Center for Threat-Informed Defense 维护的一个开源库，它包含了一系列的敌手仿真计划，旨在帮助组织评估他们的防御能力对抗现实世界中的威胁。这些仿真计划是测试组织当前防御的一个基本组成部分，特别是当这些防御关注于实际敌手行为时。

该库包含两种类型的敌手仿真计划：完整仿真和微型仿真。完整仿真计划全面模拟特定的敌手，例如 FIN6，从初始访问到数据窃取的整个流程。而微型仿真计划则模拟多个敌手共有的复合行为，例如 Web Shells。

2. 项目快速启动

首先，你需要克隆项目到本地环境：

git clone https://github.com/center-for-threat-informed-defense/adversary_emulation_library.git

然后，根据项目 README 文件中的说明，你可以找到不同敌手的仿真计划。以下是一个简单的示例，说明如何使用某个仿真计划：

# 进入项目目录
cd adversary_emulation_library

# 假设我们使用 APT29 的仿真计划
# 首先，你需要进入 APT29 的目录
cd apt29

# 按照仿真计划中的步骤执行仿真
# 以下是一个示例命令，具体命令将依据实际仿真计划而定
./run_simulation.sh

请注意，具体的仿真命令和步骤将根据你选择的敌手仿真计划有所不同。

3. 应用案例和最佳实践

• 案例一：组织可以使用 APT29 的仿真计划来测试他们的网络对于高级持续性威胁（APT）的防御能力。
• 案例二：通过执行微型仿真计划中的 Web Shells，组织可以评估其对 Web 服务器入侵的检测和响应能力。

最佳实践包括：

• 定期执行仿真计划以评估和改进防御措施。
• 结合日志分析和入侵检测系统（IDS）来监控仿真活动的效果。
• 仿真后进行详细的复盘，以了解防御中的弱点并制定改进计划。

4. 典型生态项目

在 Adversary Emulation Library 的生态中，你可以找到以下相关项目：

• MITRE ATT&CK：提供了一个全面的框架，描述了敌手在攻击过程中的技术和策略。
• Mnemonic Security's Atomic Red Team：提供了针对特定 ATT&CK 技术的测试脚本，可以与 Adversary Emulation Library 结合使用。

以上是 Adversary Emulation Library 的基本使用教程，希望对你有所帮助。

adversary_emulation_library An open library of adversary emulation plans designed to empower organizations to test their defenses based on real-world TTPs. 项目地址: https://gitcode.com/gh_mirrors/ad/adversary_emulation_library