dan-chui/Threat-Hunting-Investigations

# 🔎 威胁狩猎调查 本仓库包含使用 **Microsoft Defender 遥测数据和 KQL** 进行的威胁狩猎调查集合。 这些调查重点在于 **重构攻击者在整个攻击生命周期中的行为**，包括侦察、凭证访问、持久化、暂存和影响阶段。 ## 🧪 调查 ### 🛰️ Tor 浏览器活动威胁狩猎 **重点：** 端点遥测分析与 SOC 调查 使用 Microsoft Defender Advanced Hunting（KQL）对 Tor 浏览器的安装和网络活动进行调查，包括时间线重构和风险评估。 🔗 仓库： [威胁狩猎：Tor 浏览器调查](https://github.com/dan-chui/Threat-Hunt-Tor-Browser-Investigation) **调查的技术** - Tor 网络检测 - 端点和网络遥测分析 - 进程执行调查 ### 💣 勒索软件入侵威胁狩猎 **重点：** 攻击重构与事件响应 使用 Microsoft Defender 遥测数据和 KQL 重构多阶段勒索软件攻击，涵盖侦察、凭证发现、持久化、数据暂存和加密。 🔗 仓库： [威胁狩猎：勒索软件入侵调查](https://github.com/dan-chui/Threat-Hunt-Ransomware-Investigation) **调查的技术** - LOLBin 滥用 - 凭证发现（LSASS 枚举） - 影子副本删除 - 勒索软件部署与清理 ## 🧠 方法 每项调查遵循结构化的威胁狩猎方法： - 📊 日志与遥测分析（进程、文件、网络） - 🧩 攻击者活动时间线重构 - 🛡 映射至 MITRE ATT&CK 技术 - 🚨 检测机会识别 ## 🚀 目标 这些项目展示了在以下方面的实践经验： - 威胁狩猎与事件调查 - SIEM 分析与告警分级 - 使用 Microsoft Defender 进行端点检测 - 将技术发现转化为基于风险的洞察

标签：AI合规, AMSI绕过, Azure Sentinel, DNS 解析, EDR, IP 地址批量处理, KQL, Microsoft Defender, PB级数据处理, Tor网络, 凭证访问, 勒索软件, 威胁检测, 安全运维, 攻击链, 日志检索, 时间线重建, 检测覆盖, 端点检测与响应, 终端安全, 脆弱性评估, 脱壳工具, 逆向工具, 遥测