Threat Hunting: repos y playbooks imprescindibles
Los mejores repositorios de threat hunting en GitHub: playbooks, hipótesis, datasets, queries y frameworks para cazar amenazas proactivamente en tu red.
Por qué threat hunting
Las reglas de detección (Sigma, YARA, EDR) detectan lo conocido. Threat hunting busca lo desconocido: el atacante que evadió tus detecciones, el malware que no tiene firma, el movimiento lateral que parece tráfico legítimo. Es la diferencia entre una alarma de seguridad (detección) y un guardia que patrulla buscando anomalías (hunting).
En 2026, con técnicas de evasión cada vez más sofisticadas (EDR unhooking, direct syscalls, living-off-the-land), la detección basada en firmas cubre cada vez menos. Threat hunting cierra el gap.
Top repositorios
1. ThreatHunting-Keywords
Repo: mthcht/ThreatHunting-Keywords Stars: 3,000+ | Estado: muy activo
Base de datos masiva de keywords, artefactos y patrones para threat hunting. Organizado por herramienta ofensiva, técnica ATT&CK y tipo de log. Incluye queries listas para Splunk, Elastic y Microsoft Sentinel.
Uso: cuando necesitas buscar indicadores de una herramienta específica (Cobalt Strike, Mimikatz, Sliver) en tus logs.
2. HELK (Hunting ELK)
Repo: Cyb3rWard0g/HELK Stars: 3,700+ | Estado: activo
Plataforma de hunting basada en Elastic Stack + Kafka + Spark. Despliega un entorno completo de hunting con datasets precargados para practicar. Creado por Roberto Rodriguez (Cyb3rWard0g), una autoridad en threat hunting.
Uso: laboratorio de hunting. Despliega HELK, carga datasets de ataques simulados y practica queries de hunting.
3. Threat Hunter Playbook
Repo: OTRF/ThreatHunter-Playbook Stars: 4,000+ | Estado: activo
Colección de playbooks de hunting organizados por técnica ATT&CK. Cada playbook incluye: hipótesis, data sources necesarios, queries analíticas (Spark, Elastic), y datasets de ejemplo para validar.
Uso: referencia metodológica. Cada playbook es una hipótesis de hunting lista para ejecutar con tus datos.
4. Mordor / Security Datasets
Repo: OTRF/Security-Datasets Stars: 1,500+ | Estado: activo
Datasets de ataques simulados en formato JSON (eventos Windows, Sysmon, etc.). Generados con herramientas de red teaming reales en entornos controlados. Complemento perfecto para Threat Hunter Playbook.
Uso: cargar en tu SIEM/ELK para practicar hunting sin necesidad de ejecutar ataques reales.
5. KQL Hunting Queries (Microsoft)
Repo: microsoft/Microsoft-365-Defender-Hunting-Queries Stars: 1,500+ | Estado: activo
Queries KQL de hunting para Microsoft Defender, Sentinel y M365. Organizadas por técnica ATT&CK. Si tu entorno es Microsoft, este repo es indispensable.
6. Splunk Attack Range
Repo: splunk/attack_range Stars: 2,000+ | Estado: activo
Framework para crear laboratorios de ataque automatizados. Despliega entornos Windows con Active Directory, ejecuta ataques con Atomic Red Team y recolecta logs en Splunk. Perfecto para generar datos de hunting.
7. Awesome Threat Detection
Repo: 0x4D31/awesome-threat-detection Stars: 3,500+ | Estado: activo
Meta-lista de recursos de detección y hunting: herramientas, papers, presentaciones, blogs y datasets. Punto de partida para descubrir más recursos.
Metodología de hunting
Hypothesis-Driven Hunting
1. Hipótesis: "Un atacante está usando PSExec para movimiento lateral"
2. Data source: Windows Event Log 4688, Sysmon 1, 17/18
3. Query: procesos con nombre psexec* O services.exe creando procesos hijo
4. Baseline: ejecutar query, identificar uso legítimo
5. Hunt: filtrar uso legítimo, investigar anomalías
6. Document: si encuentras algo, crear regla Sigma para detección futura
Stack de hunting recomendado
| Componente | Herramienta | Alternativa |
|---|---|---|
| Log collection | Sysmon + WEF | Velociraptor |
| SIEM | Elastic/Splunk | Grafana Loki |
| Datasets | Security Datasets (OTRF) | Attack Range (Splunk) |
| Queries | Sigma + backend | KQL / SPL nativo |
| Validación | Atomic Red Team | Caldera |
| Playbooks | Threat Hunter Playbook | Custom |
Errores comunes
- Hunting sin hipótesis: navegar logs aleatoriamente no es hunting. Empieza con una hipótesis basada en CTI
- Ignorar el baseline: sin saber qué es normal, todo parece sospechoso
- No documentar resultados: si no conviertes hallazgos en detecciones (Sigma/YARA), el conocimiento se pierde
- Solo buscar IOCs: hunting de IOCs es detection, no hunting. Busca comportamientos y patrones
Veredicto
Threat Hunter Playbook (OTRF) + Security Datasets es la combinación más completa para empezar. ThreatHunting-Keywords para queries operativas rápidas. HELK o Attack Range para laboratorio. Y Atomic Red Team para validar que tus hunts funcionan.
Preguntas frecuentes
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.