salmananur/threat-hunting

# 威胁狩猎 — 未授权 TOR 使用 **平台：** Microsoft Defender for Endpoint (MDE) / Microsoft Sentinel **日志来源：** DeviceFileEvents, DeviceProcessEvents, DeviceNetworkEvents **端点：** vm-threat-proj **用户：** salman **日期：** 2026-03-29 ## 场景 管理层标记了网络日志中异常的加密流量模式以及与已知 TOR 入口节点的连接。匿名内部报告指出，有员工讨论在工作时间访问受限网站的方法。目标是确定 TOR 是否已被安装并活跃使用，识别责任用户，并在确认后通知管理层。 ## 假设 一名员工在受管理的工作站上下载并执行了 TOR 浏览器，以在工作时间绕过网络安全

标签：DeviceNetworkEvents, DeviceProcessEvents, KQL查询, MDE, Microsoft Sentinel, TOR浏览器, 代理检测, 内部威胁, 匿名网络, 安全合规, 微软Defender, 数据渗漏, 用户行为监控, 端点安全, 策略违规, 绕过防御, 网络代理, 网络流量分析, 补丁管理