fesguerra143/soc-threat-hunting-lab-

# SOC 威胁狩猎调查实验项目 基于 MITRE ATT&CK 的威胁分析 ## 项目概述 这些项目演示了如何利用 Microsoft Defender for Endpoint 遥测数据、Sentinel Log Analytics 和 MITRE ATT&CK 框架进行威胁狩猎调查，以识别企业环境内的可疑网络活动。 调查分析了源自内部主机的异常连接失败，并评估该活动是否符合已知的对手行为。 ## 目标 • 识别可疑网络行为 • 调查设备通信模式 • 将活动映射到 MITRE ATT&CK 技术 • 开发用于检测的 KQL 查询 ## 使用工具 - Microsoft Defender for Endpoint - KQL (Kusto Query Language) - MITRE ATT&CK 框架 - Microsoft Sentinel Log Analytics ## 调查工作流 1. 识别异常网络活动 2. 运行威胁狩猎查询 3. 分析设备通信 4. 关联可疑事件 5. 将发现映射到 MITRE ATT&CK

标签：Beacon Object File, Cloudflare, EDR, FOFA, IP 地址批量处理, KQL, Kusto Query Language, Microsoft Defender for Endpoint, Microsoft Sentinel, MITRE ATT&CK, Threat Hunting, 企业安全, 安全运营中心, 异常检测, 攻击映射, 数字取证, 端点检测与响应, 网络安全, 网络映射, 网络流量分析, 网络资产管理, 脆弱性评估, 脱壳工具, 自动化脚本, 隐私保护