jrmecono/Threat-Hunting-Scenarios

# 🔍 威胁狩猎场景 ## 🧰 工具与技术      ## 📂 场景 | # | 场景 | 威胁类型 | 关键技能 | 框架 | |---|------|----------|----------|------| | 01 | [暴力破解检测](./01-Brute-Force-Detection/README.md) | 外部 RDP 暴力破解 | 告警规则设计 · 实体映射 · 事件响应 | NIST 800-61 | | 02 | [内部端口扫描检测](./02-Internal-Port-Scan-Detection/README.md) | 内部侦察 | 网络异常狩猎 · 进程关联 · KQL 透视 | MITRE ATT&CK | | 03 | [数据泄露检测](./03-Data-Exfiltration-Detection/README.md) | 内部威胁 / 数据窃取 | 文件与进程分析 · 杀伤链映射 · DLP 缺口分析 | MITRE ATT&CK | ## 🗂️ 仓库结构 ``` Threat-Hunting-Scenarios/ │ ├── README.md ← You are here │ ├── 01-Brute-Force-Detection/ │ ├── README.md │ ├── screenshots/ │ └── queries/ │ ├── 02-Internal-Port-Scan-Detection/ │ ├── README.md │ ├── screenshots/ │ └── queries/ │ └── 03-Data-Exfiltration-Detection/ ├── README.md ├── screenshots/ └── queries/ ``` ## 🧠 这些实验室演示了什么 **检测工程** 使用 KQL 设计和部署自定义的 Sentinel 分析规则，包括实体映射、告警分组、MITRE ATT&CK 分类和自动事件创建。 **威胁狩猎** 在 `DeviceNetworkEvents`、`DeviceProcessEvents` 和 `DeviceFileEvents` 上进行主动狩猎，使用时间戳在不同表之间透视，以从假设到确认 IOC 重构攻击者行为。 **事件响应** 按照 **NIST 800-61 事件响应生命周期** 完整处理事件 —— 从检测和分类到遏制、根除、记录和正式关闭。 **MITRE ATT&CK 映射** 识别并记录所有三个场景中的 TTPs，包括 T1110（暴力破解）、T1046（网络服务发现）、T1560.001（归档收集的数据）、T1048（外泄）和 T1059.001（PowerShell）。 ## 📊 MITRE ATT&CK 覆盖范围 | 技术 ID | 技术名称 | 场景 | |---|------|------| | T1110 | 暴力破解 | 01 — 暴力破解检测 | | T1046 | 网络服务发现 | 02 — 内部端口扫描 | | T1059.001 | PowerShell 执行 | 02 & 03 | | T1105 | 入侵工具传输 | 02 & 03 | | T1560.001 | 通过实用程序归档收集的数据 | 03 — 数据泄露检测 | | T1048 | 替代协议外泄 | 03 — 数据泄露检测 | ## 💡 关键要点 - 真实的 SOC 工作流程需要同时关联 **多个日志源** 的数据 —— 没有任何一张表能讲完整的故事 - 主动的 **威胁狩猎** 能捕获被动告警遗漏的内容 —— 尤其是没有外部指标的内部威胁 - 每个发现都应映射回一个 **框架**（MITRE ATT&CK、NIST）以 contextualize 风险并推动有意义的修复 - 强化建议与检测同样重要 —— 识别 **安全缺口** 并提出控制措施是分析师职责的一部分 *作为专注于真实世界检测工程、威胁狩猎和事件响应工作流程的动手实验 SOC 分析师培训系列的一部分而构建。*

标签：Atomic Red Team, Azure, Cloudflare, Defender for Endpoint, DLP, KQL, Microsoft Sentinel, MITRE ATT&CK, NIST 800-61, 免杀技术, 内部侦察, 威胁情报, 安全运营中心, 开发者工具, 异常检测, 数据外传, 数据泄露检测, 文件分析, 无线安全, 暴力破解检测, 杀链映射, 管理员页面发现, 网络安全审计, 网络异常, 网络映射, 进程关联