Ronoh12/threat-hunting-lab

# 威胁狩猎实验室 本项目展示了**安全分析师用于检测系统日志中可疑活动的威胁狩猎技术**。 ## 目标 - 制定威胁狩猎假设 - 分析系统日志 - 识别可疑活动 - 记录调查结果 ## 使用的工具 - PowerShell - Windows Event Logs - GitHub ## 狩猎场景 ### 可疑的 PowerShell 活动 通过审查 PowerShell 活动来识别潜在的恶意命令。 攻击者经常利用 PowerShell 来： - 执行脚本 - 下载恶意软件 - 运行编码命令 监控 PowerShell 日志有助于检测可疑行为。 ## 狩猎查询 狩猎过程中使用的示例 PowerShell 查询： ``` Get-WinEvent -LogName "Windows PowerShell" -MaxEvents 20 ``` 此命令用于检索最近的 PowerShell 执行事件。 ## 项目结构 ``` threat-hunting-lab │ ├── hunts ├── logs ├── queries └── screenshots ``` ## 展示的技能 - 威胁狩猎方法论 - 日志分析 - 调查文档编写 - 安全分析工作流 ## 结论 本实验室演示了安全分析师如何主动在日志中搜寻可疑行为，以便在潜在威胁升级为安全事件之前识别它们。

标签：AI合规, BurpSuite集成, DNS 反向解析, IPv6, PowerShell, Windows事件日志, 安全实验室, 异常检测, 私有化部署, 网络安全, 防御规避, 隐私保护