brianashman/threat-hunting-scenario-tor

GitHub: brianashman/threat-hunting-scenario-tor

一个基于Microsoft Defender for Endpoint和KQL的威胁狩猎实战练习场景,模拟并检测企业内网中员工未经授权使用Tor浏览器的行为。

Stars: 0 | Forks: 0

Tor Logo with the onion and a crosshair on it # 威胁狩猎报告:未经授权的 TOR 使用 - [场景创建](https://github.com/brianashman/threat-hunting-scenario-tor/blob/main/threat-hunting-scenario-tor-event-creation.md) ## 使用的平台和语言 - Windows 10 虚拟机 - EDR 平台:Microsoft Defender for Endpoint - Kusto 查询语言 (KQL) - Tor 浏览器 ## 场景 管理层怀疑部分员工可能在使用 TOR 浏览器绕过网络安全控制,因为近期的网络日志显示存在异常的加密流量模式以及与已知 TOR 入口节点的连接。此外,收到了关于员工讨论在工作时间如何
标签:AMSI绕过, ATT&CK技术ID, Azure虚拟机, Cloudflare, IP 地址批量处理, KQL查询, Kusto查询语言, MITRE ATT&CK, Tor浏览器, Windows 10, 匿名网络, 威胁检测, 安全运营(SecOps), 微软Defender, 数字取证, 数据防泄露, 暗网监控, 端点检测与响应(EDR), 紫队演练, 网络信息收集, 网络安全, 网络流量分析, 自动化脚本, 设备行为审计, 隐私保护