truvineweb/ThreatHunt-Portfolio

# 🕵️ ThreatHunt-Portfolio 基于真实场景和端点遥测数据的实战威胁狩猎报告。每一次狩猎都展示了完整的工作流程：假设 → 数据源 → 查询 → 证据 → 发现 → 建议。 ## ✅ 你在这里能找到什么 - 🔎 **威胁狩猎报告**，包含清晰的叙述和 Pivot 逻辑 - 🧠 **MDE Advanced Hunting (KQL)** 查询语句，可直接复用和调整 - 🧾 **证据优先的报告**：时间线、IOC、截图、结论 - 🛡️ **可操作的建议**，用于检测规则调优和系统加固 ## ⭐ 精选项目 - **CyberRange: CorpHealth Traceback** 文件：`cyberange-threathunt-corphealth-traceback.md` 重点：范围界定 + 遥测数据 Pivoting + 构建可论证的时间线。 - **LOGS N’ PACIFIC: TheBroker Threat Hunt** 文件：`logsnacific-thebroker-threathunt.md` 重点：攻击者行为追踪、指标发现和报告编写。 - **Threat hunting scenario → event creation** 文件：`threat-hunting-scenario-tor-event-creation.md` 重点：将场景转化为可测试的检测思路和事件。 - **Hands-on: Keyboard attack launched from a compromised account** 文件：`Hands-on-keyboard-attack-was-launched-from-a-compromised-accou...` 重点：识别交互式攻击者活动并关联证据。 - **Azuki Series: Pt 1 — Port of Entry (11/22/25)** 🚢 文件：`logsnacific-azuki_series_part1-threathunt.md` 重点：初始访问调查、范围确认和早期遏制信号。 - **Azuki Series: Pt 2 — Cargo Hold (12/06/25)** 📦 文件：`logsnacific-azuki_series_part2-threathunt.md` 重点：攻击者回连行为、横向移动和夜间数据传输/暂存。 - **Bridge Takeover — Vault Secret Files** 🌉🔐 文件：`logsnacific-azuki_series_part3-threathunt.md` 重点：高风险数据针对性攻击、访问工具和敏感文件发现路径。 - **The Helpdesk Deception (11/08/25)** 🎧🕳️ 文件：`logsnacific-the_helpdesk_deception-threathunt.md` 重点：区分合法的支持活动与攻击者发起的远程操作。 ## 🧰 工具和遥测 - 🛡️ Microsoft Defender for Endpoint (MDE) - 🔍 Advanced Hunting (KQL) - 🪟 Windows 端点遥测（进程、文件、网络、登录） - 📈 与 Sentinel 风格的检测和调优思路一致的调查思维 ## 🗂️ 仓库结构 - `README.md` — 本页面 - `MDE-Advanced-Hunting_&_AV-Detection-Telemetry/` — 辅助遥测笔记和工件 - `*.md` — 单独的威胁狩猎报告 / 场景 ## 🧪 如何使用这些报告 1. 从 **精选项目** 中选择一个狩猎任务 2. 首先阅读 **范围 + 假设** 3. 运行 **KQL 查询**（或根据你的环境进行调整） 4. 跟随 Pivot 步骤，并与 **证据 + 发现** 进行比对 5. 审查 **建议**，并记录你需要在检测中进行调整的内容 ## 🧾 我对每一次狩猎的标准 - ✅ 明确的范围和假设 - ✅ 可复现的查询 - ✅ 基于证据的结论（不靠猜测） - ✅ 切实可行的建议（检测 + 预防）

标签：HTTP工具, IP 地址批量处理, KQL查询, MDE, Microsoft Defender, PE 加载器, SOC分析, 入侵取证, 初始访问, 安全报告, 安全案例研究, 攻击溯源, 攻击链分析, 横向移动, 端点安全, 编程规范, 网络安全, 网络安全实习, 网络安全审计, 补丁管理, 遥测数据, 隐私保护