인프라 제로 기반의 MITRE ATT&CK 매핑 오프라인 위협 헌팅 CLI 설계

Building ThreatLens: An Offline Threat Hunting CLI That Maps Logs to MITRE ATT&CK

Jude Hilgendorf2026년 4월 28일6분intermediate

AI 요약

Context

SIEM 도입을 위한 예산 부족 및 Air-gapped 환경의 제약으로 인한 분석 루프 단절 발생. 기존 SaaS 및 오픈소스 SIEM의 복잡한 설치 과정과 폐쇄적인 탐지 로직으로 인한 학습 및 빠른 트리아지 한계 직면.

Technical Solution

EVTX, JSON, Syslog 등 다양한 로그 포맷을 수용하는 단일 Python CLI 구조 설계
Source IP 기반의 Grouping 전략을 통한 Brute-Force와 Password Spray의 정밀한 구분 로직 구현
find_dense_windows 유틸리티를 활용한 시계열 데이터 내 고밀도 윈도우 추출 및 탐지 규칙의 선언적 추상화
Signal Density에 비례하여 Severity를 동적으로 할당하는 스케일링 알고리즘 적용
Actor 중심의 Alert 그룹화 및 Tactic-Stage 정렬을 통한 Multi-stage Attack Chain Correlation 구현
Terminal, JSON, HTML의 다중 출력 포맷 지원으로 CI/CD 연동 및 가독성 확보

실천 포인트

- 탐지 룰 설계 시 Username이 아닌 Source IP 기반의 그룹화로 공격자 패턴 식별 여부 검토 - 단순 임계치 기반 알람 대신 이벤트 밀도(Density)에 따른 가변 Severity 적용 고려 - 개별 알람의 단순 나열보다 Tactic-Stage 기반의 타임라인 구성으로 분석 컨텍스트 제공

태그

#Correlation Engine #MITRE ATT&CK #Threat Hunting #CLI Tool #Security Analysis

원문 읽기