960hersi/threat-hunting-scenario-tor
GitHub: 960hersi/threat-hunting-scenario-tor
一份基于Microsoft Defender for Endpoint和KQL的威胁狩猎实战案例,帮助安全团队检测和调查组织内未经授权的TOR浏览器使用行为。
Stars: 0 | Forks: 0
# 威胁狩猎场景-tor
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/960hersi/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto Query Language (KQL)
- Tor Browser
## 场景
管理层怀疑一些员工可能在使用 TOR 浏览器绕过网络安全控制,因为最近的网络日志显示了异常的加密
# 威胁狩猎报告:未经授权的 TOR 使用
- [场景创建](https://github.com/960hersi/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md)
## 使用的平台和语言
- Windows 11 虚拟机 (Microsoft Azure)
- EDR 平台:Microsoft Defender for Endpoint
- Kusto Query Language (KQL)
- Tor Browser
## 场景
管理层怀疑一些员工可能在使用 TOR 浏览器绕过网络安全控制,因为最近的网络日志显示了异常的加密标签:AMSI绕过, DNS 解析, EDR, IP 地址批量处理, KQL, Kusto查询语言, TOR浏览器, Windows 11, 威胁检测, 安全运营, 异常流量检测, 微软Azure, 微软Defender, 扫描框架, 搜索语句(dork), 数字取证, 暗网监控, 端点检测与响应, 网络安全, 网络流量分析, 脆弱性评估, 脱壳工具, 自动化脚本, 隐私保护