farhan-shafee/threat-hunting-playbooks

# 威胁狩猎作品集实验室 一个实用的、为面试做好准备的实验室，展示了我如何执行结构化的威胁狩猎并记录分析师的决策。 ## 为什么会有这个项目 我构建这个实验室是为了展示我在 SOC Analyst / Security Analyst / Threat Hunter / Junior Detection Engineer 岗位上的实际能力： - 将攻击者行为转化为狩猎假设 - 编写和调整 SIEM 查询 - 使用基于证据的升级标准对发现进行分类处理 - 以简洁的狩猎总结记录结果 ## 仓库结构 ``` hunts/ # Primary hunt playbooks (6 core scenarios) docs/ # Methodology, assumptions, and reference guidance samples/logs/ # Synthetic telemetry snippets for practice samples/reports/ # Example completed hunt summaries queries/ # Reusable KQL snippets scripts/ # Validation checks used locally and in CI .github/workflows/ # CI workflow legacy-playbooks/ # (planned) migration target for older markdown content ``` ## 核心狩猎剧本 - 可疑的 PowerShell → `hunts/suspicious-powershell.md` - 异常身份验证行为 → `hunts/unusual-authentication-behavior.md` - 横向移动 → `hunts/lateral-movement.md` - 数据渗漏指标 → `hunts/data-exfiltration-indicators.md` - 云账户被盗用 → `hunts/cloud-account-compromise.md` - 持久化机制 → `hunts/persistence-mechanisms.md` 每个剧本都包含： - 假设 + 目标 - 必要的数据源 - SIEM 查询示例 - 预期结果 - 调查步骤 - 误报指南 - 升级标准 - MITRE ATT&CK 映射 - 调优说明 ## 本实验中使用的工作流 1. 定义一个可证伪的假设。 2. 验证遥测数据先决条件。 3. 运行初始查询并收集候选发现。 4. 结合进程/用户/网络/云上下文进行丰富。 5. 使用明确的标准判定是良性还是可疑。 6. 调整逻辑以减少持续出现的误报。 7. 记录狩猎总结和后续行动。 参见 `docs/threat-hunting-methodology.md`。 ## 包含的示例输出 - 位于 `samples/logs/` 的合成日志片段 - 位于 `samples/reports/` 的完整狩猎总结 这些工件是设计为合成的，用于展示分析工作流，而非真实的安全事件。 ## 展示的技能 - SIEM 查询编写（KQL 风格） - 端点 + 身份 + 网络 + 云分类处理 - 基于 ATT&CK 的行为映射 - 实用的误报减少策略 - 关于调查结果的书面交流能力 ## 局限性与真实性声明 - 查询是通用化的，需要根据您的 schema/表名进行调整。 - 阈值是初始值，并非通用的生产环境阈值。 - 示例数据经过特意精简且为合成的。 - 本仓库避免了捏造的公司、泄露、威胁情报声明以及虚假的影响指标。 ## 快速开始 ``` make validate ``` 这会运行 markdown 质量检查，以验证狩猎剧本的结构和查询代码块的存在。

标签：Cloudflare, KQL, MITRE ATT&CK, OpenCanary, PE 加载器, PowerShell监控, SIEM查询, SOC分析师, 威胁情报, 子域枚举, 安全分析师, 安全实验, 安全运营, 安全运营中心, 安全面试准备, 开发者工具, 扫描框架, 数据渗出, 横向移动, 编程规范, 网络安全, 网络映射, 身份验证异常, 防御加固, 隐私保护, 高级持续威胁