chowdhuryrz/threat-hunts

# 🔍 威胁狩猎 每个报告都涵盖一个从初始入侵到包含的完整模拟事件：包含 KQL 查询、证据截图、MITRE ATT&CK 映射和分析员笔记。 ## 📁 狩猎 | # | 狩猎 | 场景 | SIEM | 难度 | 威胁行为者 | |---|---|---|---|---|---| | 02 | [散乱的发票](./scattered-invoice/report.md) | 商业电子邮件入侵 — 通过 MFA 疲劳实施 24,500 英镑的电汇欺诈 | Microsoft Sentinel | 中级 | Scattered Spider | ## 📂 仓库结构 每个狩猎都位于其独立的文件夹中： ``` threat-hunts/ │ ├── README.md │ ├── scattered-invoice/ │ ├── report.md # Full IR report with KQL queries and findings │ └── screenshots/ # Evidence screenshots from Microsoft Sentinel │ └── [hunt-name]/ # Future hunts follow the same structure ├── report.md └── screenshots/ ``` ## 📋 报告结构 每个报告遵循以下格式： | 部分 | 描述 | |---|---| | 执行摘要 | 发生了什么以及对业务的影响 | | 环境 | 工作区、日志表、时间窗口、关键标识符 | | 攻击链 | 可视化的杀伤链概览 | | 调查阶段 | 每个阶段的 KQL 查询、发现和证据 | | 防御失效 | 缺失或被绕过的控制措施 | | 攻击时间线 | 按时间顺序排列的事件表 | | IOCs | 所有妥协指示器 | | 包含步骤 | 按优先级排序的即时响应操作 | | 建议 | 长期安全改进 | | MITRE ATT&CK 映射 | 每个战术对应的技术 ID | | 分析员笔记 | 从调查中吸取的关键经验教训 | ## 🛠️ 技能    - **SIEM：**Microsoft Sentinel (KQL) - **日志来源：**`SignInLogs`、`CloudAppEvents`、`EmailEvents`、`AuditLogs` - **技术：**MFA 疲劳检测、收件箱规则取证、BEC 调查、会话关联、不可能旅行分析 - **框架：**MITRE ATT&CK、NIST 事件响应生命周期 ## 🔗 连接 - **领英：**[linkedin.com/in/chowdhuryrz](https://linkedin.com/in/chowdhuryrz) - **实习：**Log(N) Pacific — 远程 SOC 运营 *更新：2026 年 4 月*

标签：AMSI绕过, Azure Sentinel, Cloudflare, IOC, KQL, Kusto 查询语言, Microsoft Sentinel, MITRE ATT&CK, 企业安全, 分析师笔记, 威胁情报, 威胁检测, 安全信息与事件管理, 安全改进, 安全运营, 开发者工具, 扫描框架, 指示器, 搜索引擎爬取, 攻击链, 杀伤链, 网络安全, 网络资产管理, 调查报告, 遏制措施, 隐私保护