JayTech1881/Azure-kql-threat-hunting

# Azure-kql-threat-hunting ## 目标 演示如何在 Azure Log Analytics 中使用 Kusto Query Language (KQL) 来识别和调查潜在的安全威胁。 ## 实验活动 • 使用 KQL 查询 Azure Log Analytics 工作区 • 在日志数据中识别可疑 IP 活动 • 提取 IP 地址以进行进一步调查 • 使用 VirusTotal 威胁情报分析该 IP ## 发现 日志活动中出现了一个可疑的外部 IP 地址。 VirusTotal 分析返回了来自安全厂商的 1 个检测结果，表明存在潜在的恶意活动。 ## 安全分析 虽然单一检测并不能确认恶意意图，但该 IP 被标记为可疑，在真实的 SOC 环境中需要进一步监控和调查。 ## 经验总结 • KQL 是威胁狩猎的强大工具 • 威胁情报平台有助于验证可疑指标 • SOC 分析师必须将日志数据与外部情报来源进行关联

标签：Ask搜索, Azure, Azure Log Analytics, BurpSuite集成, IP地址分析, KQL, Kusto Query Language, VirusTotal, 威胁情报, 安全调查, 安全运营中心, 开发者工具, 日志查询, 网络安全, 网络映射, 隐私保护