BlvckOgre/SOC-Community-Threat-Hunt-Portfolio

# SOC 社区威胁狩猎作品集 本仓库是针对 MITRE ATT&CK 框架的威胁狩猎练习、检测逻辑和调查案例的精选合集。它作为参与 MyDFIR SOC 社区活动的一部分而开发。 本仓库的目的是展示实际的 SOC 分析师能力，包括威胁检测、调查方法和结构化报告。 ## 仓库结构 - **/hunts/** 包含已完成的威胁狩猎和小型挑战的详细撰写内容。 - **/investigations/** 包含经社区反馈完善的综合性案例报告，并附有截图和查询输出等证据。 - **/kql/** 存放可重用的 Kusto 查询语言（KQL）查询和检测逻辑。 ## 威胁狩猎撰写模板 每篇威胁狩猎撰写内容均遵循一致的结构： - **Technique** MITRE ATT&CK 技术编号与名称。 - **Summary** 对该技术的概述及其被对手典型使用方式。 - **Detection Strategy** 相关的日志来源和可疑活动的指标。 - **KQL** 用于识别该技术的查询语句。 - **Triage and Investigation** 初始分析步骤和升级标准。 - **Mitigation and Remediation** 推荐的防御措施和响应动作。 ## 调查报告 所有调查报告均具备以下特点： - 融入 MyDFIR SOC 社区的反馈 - 以完整案例报告形式记录在 `/investigations/` 目录中 - 包含支持性证据，如截图、查询和分析结果 本部分突出展示了迭代改进分析、应用反馈以及产出高质量调查报告的能力——这是 SOC 分析师的核心竞争力。 ## KQL 文档模板 每条 KQL 条目包含： - **Objective** 查询的目的。 - **Suspicious Indicators** 结果中需要关注的关键模式或异常。 - **KQL Query** 检测逻辑。 ## 目的 本仓库作为一个专业作品集，用于展示： - 威胁狩猎能力 - 使用 KQL 开发检测逻辑的能力 - SOC 分级与调查技能 - 对 MITRE ATT&CK 框架的应用 随着时间推移，它提供了一套结构化的工作成果，可在专业场合展示，用于体现分析思维、技术能力和在 SOC 环境中的有效沟通。

标签：AMSI绕过, Cloudflare, KQL查询, Kusto查询语言, MITRE ATT&CK, MyDFIR, SOC分析, 取证调查, 可疑指标, 响应行动, 威胁检测, 安全运营, 实战练习, 扫描框架, 日志来源, 案例报告, 检测逻辑, 社区反馈, 结构化报告, 调查方法论, 迭代改进, 防御加固, 防御措施