AJ-Jeffreys/Threat-Detection-Hunt-Pack

# 威胁检测狩猎包（专注医疗领域） 我为 **Microsoft Defender XDR** 开发的自定义 KQL 检测和行为分析查询，源自在医疗/关键基础设施环境中的真实 SOC 运营经验。 每项检测均映射至 MITRE ATT&CK，包含专为医疗环境调优的允许列表，并配有相应的分类评估 Playbook，以实现快速的事件响应和告警分类评估。 ## 检测 包含 MITRE 映射、数据源和调优说明的完整索引：[DETECTIONS.md](DETECTIONS.md) | # | 检测 | 技术 | 战术 | 严重性 | |---|-----------|-----------|--------|----------| | 01 | [Office 转脚本编码命令](hunts/01_OfficeToScript_EncodedCommand.kql) | T1059.001, T1204.002, T1218 | 执行 | 高 | | 02 | [来自风险父进程的探测爆发](hunts/02_ReconBursts_RiskyParents.kql) | T1016, T1033, T1087 | 发现 | 中 | | 03 | [通过计划任务维持权限](hunts/03_PersistenceViaSchtasks.kql) | T1053.005 | 持久化 | 高 | | 04 | [LSASS 内存访问](hunts/04_CredentialAccess_LSASS.kql) | T1003.001 | 凭据访问 | 严重 | | 05 | [可疑服务安装](hunts/05_Persistence_ServiceInstall.kql) | T1543.003 | 持久化 | 高 | | 06 | [异常 RDP 横向移动](hunts/06_LateralMovement_RemoteLogon.kql) | T1021.001 | 横向移动 | 中 | ## 仓库结构 ``` hunts/ KQL detection queries (Defender XDR/EDR) playbooks/ Markdown alert triage guides per detection metadata/ MITRE mappings and version tracking ``` ## 检测工程理念 每项检测旨在： - 通过内置的允许列表和环境特定的调优变量，强调**高信号、低噪声** - 反映在医疗行业安全事件中观察到的**真实攻击者模式**——基于宏的初始访问、凭据窃取以及勒索软件部署前活动 - 清晰地映射到 **MITRE ATT&CK**，以便集成到威胁情报和事件响应工作流中 - 通过行为分析而非简单的 IOC 匹配，实现高效的**威胁狩猎** ## MITRE ATT&CK 覆盖范围 | 战术 | 技术 | |--------|------------| | 执行 | T1059.001, T1204.002, T1218 | | 发现 | T1016, T1033, T1087 | | 持久化 | T1053.005, T1543.003 | | 凭据访问 | T1003.001 | | 横向移动 | T1021.001 | **5 项战术 · 10 项技术 · 6 项检测** ## 在您的 SIEM/EDR 环境中部署 在运行这些查询之前： 1. 将允许列表值（标记为 `replace-with-admin1` 等）替换为您的特权账户名和管理员 IP 2. 调整回溯窗口以匹配您的数据量和告警疲劳容忍度 3. 在提升为分析规则之前，先在威胁狩猎模式下进行测试 4. 与您现有的 SOC 告警分类评估工作流集成 有关各项检测的调优说明和威胁情报上下文，请参阅 [DETECTIONS.md](DETECTIONS.md)。 ## 作者 **AJ Jeffreys** — 检测工程师，专攻医疗/关键基础设施环境中的威胁检测、行为分析和漏洞管理。 [LinkedIn](https://www.linkedin.com/in/ajani-jeffreys/) · [GitHub](https://github.com/AJ-Jeffreys)

标签：AMSI绕过, KQL查询, OpenCanary, 医疗安全, 后渗透, 威胁检测, 安全运营, 微软Defender, 扫描框架, 知识库安全, 防御加固