Atomic Threat Coverage 使用教程

Atomic Threat Coverage 使用教程

atomic-threat-coverage Actionable analytics designed to combat threats 项目地址: https://gitcode.com/gh_mirrors/at/atomic-threat-coverage

1. 项目介绍

Atomic Threat Coverage（ATC）是一个基于MITRE ATT&CK威胁模型的框架，旨在帮助安全团队自动生成可操作的威胁分析。该框架可以生成基于Sigma规则和Atomic Red Team检测测试的威胁检测规则，同时支持创建响应剧本、缓解策略和可视化仪表板。ATC能够自动生成知识库，并支持将分析结果导出为Atlassian Confluence页面或Markdown格式的维基风格页面。

2. 项目快速启动

环境准备

在开始之前，请确保您的系统中已安装以下依赖：

• Python 3.x
• Docker

克隆项目

git clone https://github.com/atc-project/atomic-threat-coverage.git
cd atomic-threat-coverage

安装依赖

pip install -r requirements.txt

构建项目

docker build -t atc .

运行项目

docker run -p 127.0.0.1:8080:8080 atc

现在，您可以通过浏览器访问 http://127.0.0.1:8080 来查看ATC的界面。

3. 应用案例和最佳实践

案例一：生成威胁检测规则

1. 创建一个新的Sigma规则文件。
2. 编写Sigma规则，并确保包含必要的标签和日志源。
3. 将规则文件放置在ATC项目指定的规则目录中。
4. 运行ATC，规则将自动被解析并生成相关威胁分析。

案例二：创建响应剧本

1. 根据需要响应的威胁，编写响应剧本。
2. 将剧本文件放置在ATC项目指定的剧本目录中。
3. 运行ATC，剧本将自动被整合到知识库中。

最佳实践

• 保持Sigma规则和Atomic Red Team测试的最新性，以确保威胁检测的准确性。
• 定期更新ATC框架，以利用最新的功能和修复。

4. 典型生态项目

ATC与其他开源项目紧密结合，以下是一些典型的生态项目：

• Sigma: 用于生成检测规则的通用签名格式。
• Atomic Red Team: 提供基于MITRE ATT&CK的检测测试。
• atc-react: 用于创建安全事件响应剧本。
• atc-mitigation: 提供用于缓解特定威胁的策略。

通过这些项目的结合使用，可以构建一个全面的安全分析和响应框架。

atomic-threat-coverage Actionable analytics designed to combat threats 项目地址: https://gitcode.com/gh_mirrors/at/atomic-threat-coverage