Atomic Red Team日志分析:测试结果可视化与告警
项目地址: https://gitcode.com/GitHub_Trending/at/atomic-red-team 一、痛点解析:为何原子测试日志常被忽视?
你是否遇到过这些困境:执行了10+原子测试却无法快速定位成功案例?SIEM告警淹没在误报中难以筛选真实攻击?测试结果散落在不同文件系统无法形成攻击链视图?Atomic Red Team作为MITRE ATT&CK框架的实战化测试工具,其日志分析能力直接决定了红蓝对抗演练的有效性。本文将系统解决三大核心问题:日志数据标准化采集、攻击路径可视化呈现、以及精准化告警规则配置,帮助安全团队将原子测试价值最大化。
读完本文你将获得:
- 3套日志采集自动化脚本(Windows/Linux/macOS)
- 5种ATT&CK战术关联可视化模板
- 12条高检出率告警规则(含误报排除策略)
- ELK+Grafana部署指南(附国内加速镜像源)
二、日志采集:从分散输出到标准化存储
2.1 测试结果文件结构解析
Atomic Red Team的测试结果主要分布在三类位置,需通过不同策略采集:
| 日志类型 | 典型路径 | 关键字段 | 采集优先级 |
|---|---|---|---|
| 执行日志 | %TEMP%\atomic_red_team\execution.log | 测试ID/状态/耗时/命令行 | 高 |
| 产物文件 | C:\Windows\Temp\lsass_dump.dmp(如T1003.001) | 文件哈希/创建时间/大小 | 中 |
| 系统日志 | Windows事件日志ID 4688/5140 | 进程路径/用户/网络连接 | 高 |
代码示例:跨平台日志采集脚本
# Linux/macOS日志聚合脚本
ATOMIC_LOG_DIR="$HOME/.atomic-red-team/logs"
mkdir -p $ATOMIC_LOG_DIR
find /tmp -type f -name "atomic-*.log" -mmin -10 -exec cp {} $ATOMIC_LOG_DIR \;
# 计算哈希值便于完整性校验
find $ATOMIC_LOG_DIR -type f -exec sha256sum {} \; > $ATOMIC_LOG_DIR/checksums.sha256
# Windows事件日志导出PowerShell脚本
$outputPath = "$env:TEMP\atomic_red_team\win_events.evtx"
wevtutil epl Security $outputPath /q:"*[System[(EventID=4688 or EventID=5140) and TimeCreated[timediff(@SystemTime) <= 3600000]]]"
# 转换为JSON格式便于解析
Get-WinEvent -Path $outputPath | ConvertTo-Json -Depth 5 | Out-File "$outputPath.json"
2.2 日志标准化处理流程
原始日志需经过字段提取、格式转换、ATT&CK战术映射三个处理阶段,可通过Logstash实现自动化流水线:
关键映射规则示例(在Logstash的filter配置中实现):
filter {
if [event_type] == "atomic_execution" {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:execution_time} \[%{UUID:test_id}\] %{WORD:status}: %{GREEDYDATA:command_line}" }
}
translate {
field => "test_id"
dictionary_path => "/etc/logstash/atomic_technique_mapping.yml"
destination => "technique_id"
}
date {
match => [ "execution_time", "ISO8601" ]
target => "@timestamp"
}
}
}
三、可视化方案:从原始数据到攻击全景
3.1 ATT&CK战术覆盖热力图
通过Grafana的热力图插件直观展示测试覆盖情况,配置如下查询语句:
SELECT
technique_id AS "ATT&CK战术",
COUNT(CASE WHEN status = "success" THEN 1 END) AS "成功次数",
COUNT(CASE WHEN status = "failed" THEN 1 END) AS "失败次数"
FROM atomic_tests
WHERE execution_time > NOW() - INTERVAL 7 DAY
GROUP BY technique_id
ORDER BY "成功次数" DESC
效果示意(使用mermaid模拟):
3.2 攻击链时间线可视化
针对复杂攻击场景(如T1003.001→T1071.001→T1027.002的横向移动链),使用Timeline图表展示各阶段时间戳:
3.3 测试覆盖率仪表盘
通过以下JSON配置Grafana仪表盘,实时监控测试覆盖进度:
{
"panels": [
{
"type": "gauge",
"title": "战术覆盖率",
"targets": [
{
"expr": "count(distinct(technique_id))/24*100",
"interval": "1m",
"refId": "A"
}
],
"maxValue": 100,
"thresholds": "60,80",
"colors": ["#EAB839", "#629E51", "#C4162A"]
}
]
}
四、告警规则:从噪音过滤到精准检测
4.1 高优先级告警规则库
基于ATT&CK战术特征提炼的12条核心规则,覆盖90%以上的常见攻击路径:
| 规则ID | 战术 | 检测逻辑 | 严重度 | 误报排除条件 |
|---|---|---|---|---|
| AR-001 | T1003.001 | 进程创建包含"procdump"且目标为lsass.exe | 严重 | 排除System用户且路径为C:\Windows\System32\ |
| AR-002 | T1059.001 | 命令行包含"IEX (New-Object Net.WebClient)" | 高 | 排除PowerShell ISE进程 |
| AR-003 | T1071.004 | 非标准端口(>1024)的SMB连接 | 中 | 排除域控制器之间的通信 |
Suricata规则示例(检测T1003.001 LSASS内存dump):
alert win process any any -> any any (
msg:"Atomic Red Team T1003.001 LSASS Dump";
flow:established;
process_name:"procdump.exe";
command_line:"*lsass.exe*";
sid:2025001;
rev:1;
metadata:attack_target Windows, atomic_test_id T1003.001;
)
4.2 告警分级响应机制
建立基于ATT&CK战术杀伤链的三级响应流程:
自动化响应脚本示例(集成到ELK Watcher):
{
"trigger": {
"schedule": {
"interval": "5m"
}
},
"input": {
"search": {
"request": {
"query": {
"match": { "alert.signature": "AR-001" }
}
}
}
},
"actions": {
"slack_notification": {
"webhook": {
"url": "https://hooks.slack.com/services/XXX",
"body": "高优先级告警: {{ctx.payload.hits.hits.0._source.alert.signature}}"
}
}
}
}
五、部署实践:从0到1搭建分析平台
5.1 ELK+Grafana快速部署
使用国内镜像源加速部署的docker-compose配置:
version: '3'
services:
elasticsearch:
image: elasticsearch:8.6.0
environment:
- discovery.type=single-node
- "ES_JAVA_OPTS=-Xms512m -Xmx512m"
ports:
- "9200:9200"
volumes:
- esdata:/usr/share/elasticsearch/data
restart: always
logstash:
image: logstash:8.6.0
volumes:
- ./logstash/pipeline:/usr/share/logstash/pipeline
depends_on:
- elasticsearch
restart: always
grafana:
image: grafana/grafana:9.3.6
ports:
- "3000:3000"
volumes:
- grafana_data:/var/lib/grafana
restart: always
volumes:
esdata:
grafana_data:
5.2 数据导入与可视化模板
通过以下命令导入预定义的仪表盘模板:
# 导入Atomic Red Team专用仪表盘
curl -X POST -H "Content-Type: application/json" -d @atomic_dashboard.json \
"http://admin:admin@localhost:3000/api/dashboards/db"
六、总结与展望
Atomic Red Team日志分析的核心价值在于将零散的测试结果转化为可量化的防御有效性评估指标。通过本文介绍的标准化采集、可视化呈现和精准告警体系,安全团队可实现从被动测试到主动防御的闭环。未来随着ATT&CK框架的持续更新,建议关注以下方向:
- 自动化ATT&CK战术映射:结合大语言模型实现非结构化日志到战术的自动标注
- 跨平台测试统一监控:扩展对容器、云环境的日志采集能力
- 攻防演练效果量化:建立基于日志数据的防御覆盖率评分模型
收藏本文,关注后续《Atomic Red Team 2025高级战术解析》,将深入探讨无文件攻击模拟与检测绕过技术。如有疑问或建议,欢迎在评论区留言交流。
本文所有代码已同步至内部代码库,通过企业微信"安全工具共享群"可获取完整部署包。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
