nicholas-net/Threat-Hunting-Scenario-External-RDP-Compromise

# 威胁狩猎场景：外部 RDP 泄露 **日期：** 2026 年 4 月 28 日 ## 🎯 场景 一位云工程师在 LinkedIn 上发布了一张照片。工作站设置，Azure 门户处于打开状态，屏幕上显示着 VM 详细信息。可能无关紧要。也可能暗藏玄机。 PHTG 上周推出了一项新的内部服务。计划任务、后台可执行文件、出站签入。一切都在预期之中。一切皆属设计使然。 你被要求审查这次信息暴露。目前没有安全事件。没有任何警报。也没有怀疑遭到入侵。暂时没有。 追踪这些线索。 触发条件：一位同事在 LinkedIn 上宣布 PHTG 的 HealthCloud 推出工作开启了新的一天。照片显示了一个开发工作站、一个云控制台，以及足以让你感到不安的基础设施细节。你被要求熟悉 HealthCloud 的足迹，以便为未来的警报提供上下文背景。 指令：目前没有安全事件。没有任何警报。也没有怀疑遭到入侵。暂时没有。审查公开可见的证据。确定暴露了哪些内容。调查此次暴露是否已被利用。无论遥测数据指向何处，都请一探究竟。 ## 平台和语言 • Windows 11 VM • Microsoft Sentinel SIEM • Kusto Query Language (KQL) ## Flag 1 – **目标**： **发现**： **KQL 查询**： **备注：**

标签：Azure, ESC4, ESC8, KQL, Kusto Query Language, Microsoft Sentinel, OSINT, RDP攻击, Threat Hunting, Windows 11, 信息泄露, 外部入侵, 安全运营, 实时处理, 异常检测, 扫描框架, 数据防泄露, 社交媒体情报, 社会工程学, 网络安全, 蓝队演练, 虚拟机安全, 远程桌面协议, 隐私保护