JoshtheITwizard/Threat-Hunting-Project

# 威胁狩猎项目 欢迎访问我的威胁狩猎项目库。该库展示了一些实际场景，在这些场景中我应用了威胁狩猎技术来识别和缓解潜在的安全事件。每个项目都演示了如何使用相关工具和框架来模拟真实世界中的威胁，并对其进行有效响应。 ## 使用的平台和工具 - **Windows 10 虚拟机 (Microsoft Azure)：** 用于测试和分析的模拟企业环境。 - **端点检测与响应 (EDR)：** Microsoft Defender for Endpoint (MDE)，用于识别和缓解威胁。 - **Kusto 查询语言 (KQL)：** 用于查询并进行详细的日志分析。 - **MITRE ATT&CK 框架：** 用于映射对手的战术和技术。 ## 项目 **场景概述：** 管理层怀疑最近被纳入绩效改进计划 (PIP) 的员工 Scott Firth 可能正计划外泄敏感的公司数据。该员工对其设备 (LAB-WIN10) 拥有管理员访问权限。 **目标：** 本次威胁狩猎的目标是检测任何试图压缩敏感文件并将其传输到未授权位置的行为，从而缓解潜在风险。 **核心亮点：** - 分析端点日志，查找文件压缩和未授权传输的迹象。 - 使用 KQL 检测 MDE 日志中的异常行为。 - 将发现结果映射到 MITRE ATT&CK 框架，以进行结构化报告。 **场景概述：** 管理层怀疑部分员工可能正在使用 TOR 浏览器来绕过网络安全控制。近期的网络日志显示了异常的加密流量模式以及与已知 TOR 入口节点的连接。此外，有匿名报告称，

标签：ATT&CK框架, Cloudflare, EDR, IP 地址批量处理, KQL, Kusto查询语言, MDE, Microsoft Azure, Microsoft Defender for Endpoint, MITRE ATT&CK, Tor检测, 企业安全, 内部威胁, 匿名网络, 安全事件响应, 安全运营, 扫描框架, 攻击模拟, 数据泄露防范, 数据渗出, 生成式AI安全, 端点检测与响应, 紫队, 网络安全, 网络资产管理, 脆弱性评估, 脱壳工具, 虚拟机, 隐私保护, 驱动签名利用, 黑客模拟