跳转到内容

asp-threat-hunting

asp-threat-hunting 用于编排 ASP 威胁狩猎,适合围绕假设、IOC、TTP 或可疑活动进行有边界的 SIEM hunt。

调用方式

text
/asp-threat-hunting

它会组合 asp-siem-searchasp-siem-ruleasp-alertasp-artifactasp-caseasp-threat-intelligenceasp-knowledge

常见调用样例

text
/asp-threat-hunting 围绕可疑 PowerShell 下载行为做 24 小时 hunt
text
/asp-threat-hunting 使用这些 IOC 在 SIEM 中查找关联活动
text
/asp-threat-hunting 根据 ATT&CK T1059 生成可验证的 hunt 查询

常用 CLI 命令:

powershell
asp siem schema list --output json
asp siem search keyword 1.2.3.4 --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json
asp siem query spl "index=main error" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json