Saksham047/SOC-Detection-Rules

# SOC-Detection-Rules # 检测用例 ## 1️. 暴力破解登录检测 ### 描述 检测来自单个 IP 地址的多次失败登录尝试及其随后的成功登录。 ### 为什么重要 此模式表明发生了暴力破解攻击，攻击者尝试了多个密码并最终获取了访问权限。 ## 2. 不可能旅行检测 ### 为什么触发此检测 用户在极短的时间窗口内从相距甚远的地理位置登录，这在物理上是不可能的。 此行为通常表明凭证已泄露、发生了会话劫持，或存在来自其他区域的未经授权访问。 此类活动通常在以下情况中被观察到： - 凭证被泄露并被来自其他国家的攻击者使用 - 威胁行为者使用了基于 VPN/代理的访问 - 同时从不同区域创建了多个会话

标签：AMSI绕过, ArcSight, CCTV/网络接口发现, KQL, KQL查询, meg, Microsoft Sentinel, PE 加载器, PoC, SOC剧本, SOC自动化, 不可能旅行, 会话劫持, 信息安全, 关联规则, 凭据泄露, 威胁检测, 子域枚举, 安全实验室, 安全运营中心, 工作流自动化, 异常登录, 异常行为检测, 暴力破解, 登录监控, 红队行动, 网络安全, 网络映射, 防御对抗, 隐私保护