shahm-1/Threat-Hunting-Portfolio

# 威胁狩猎作品集 使用生产级 SIEM 工具、真实攻击场景和 MITRE ATT&CK 映射进行的企业级威胁调查。 **15+ 项调查** • **73+ 条查询** • **20+ 项 MITRE 技术** • **KQL & Splunk** ## 关于此工作 - **🔬 实验室模拟** - 使用生产级工具调查受控攻击场景 - **⚡ 实时威胁** - 针对互联网暴露基础设施检测到的真实攻击 所有调查均遵循 NIST 800-61 IR 工作流程，并反映生产级 SOC 操作。 ## ⭐ 精选作品 | 调查项目 | 类型 | 重点 | 关键技能 | |---------------|------|-------|------------| | **[端点注册表警报 - OneDrive 更新](./Investigations/Endpoint-Registry-Alert-OneDrive-Update.md)** | ⚡ 实时 | 注册表持久化 | T1547.001, 警报分类 | | **[KCD - 异常进程创建](./Investigations/KCD-Anomalous-process-creation.md)** | ⚡ 实时 | 可疑进程派生 | 进程树, 行为检测 | | **[KCD - 网络 Suricata 警报](./Investigations/KCD-Network-Suricata-Alert.md)** | ⚡ 实时 | IDS 触发的调查 | 网络流量, C2 检测 | | **[检测到 NIBrute - 活动警报](./Investigations/NIBrute-Detected-Active-Alert.md)** | ⚡ 实时 | 暴力破解工具 | T1110, RDP 攻击分析 | | **[Netflix 钓鱼邮件分析](./Investigations/Netflix-Phishing-Email-Analysis.md)** | ⚡ 实时 | 凭据窃取 | 头部分析, IOC 提取 | | **[MTS - 完整事件报告: LOLBIN 滥用](./Investigations/MTS-Full-Incident-Report-LOLBIN-Abuse.md)** | ⚡ 实时 | Living-off-the-land 攻击链 | T1218, 防御规避, 完整 IR | | **[Microsoft Capstone: 钓鱼 → Mimikatz](./Investigations/Microsoft-Capstone-Project-Report.md)** | 🔬 实验 | 多阶段入侵 | T1003, T1059.001, 凭据转储 | ## 📁 仓库结构 ### [Hunts/](./Hunts/) - 主动威胁狩猎 | 狩猎项目 | 类型 | 重点 | 技术 | |------|------|-------|------------| | **[互联网暴露 VM: 暴力破解](./Hunts/02-Internet-Exposed-Brute-Force.md)** | 🔬 实验 | 身份验证攻击 | T1110, T1133, T1021 | | **[Tor 浏览器调查](./Hunts/03-Tor-Browser-Investigation.md)** | 🔬 实验 | 未授权

标签：C2 检测, Cloudflare, EDR, KQL, LOLBIN, Mimikatz, MITRE ATT&CK, NIST 800-61, OpenCanary, PoC, Suricata, 企业安全, 凭据窃取, 威胁猎杀, 威胁调查, 子域枚举, 安全运营中心, 库, 应急响应, 攻击模拟, 数字取证, 暴力破解, 注册表持久化, 现代安全运营, 知识库安全, 红队行动, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 自动化脚本, 隐私保护, 驱动签名利用