nehalcanadaedu-maker/tor-threat-hunting-report

GitHub: nehalcanadaedu-maker/tor-threat-hunting-report

一份基于 Microsoft Defender XDR 和 Sentinel 的威胁狩猎报告,演示如何在 Windows 环境中检测和调查未经授权的 Tor Browser 使用。

Stars: 0 | Forks: 0

# 威胁狩猎场景:未经授权的 TOR Browser 使用 ## 概述 此威胁狩猎场景侧重于在受监控的 Windows 环境中检测未经授权的 TOR Browser 安装和使用。TOR 可用于绕过组织网络控制、隐藏网络活动或通过匿名渠道进行通信。本次练习的目的是识别相关遥测数据、调查入侵指标(IoC),并使用 Microsoft Defender XDR 和 Microsoft Sentinel 验证检测逻辑。 ## 检测目标 * 检测 TOR Browser 下载活动。 * 识别 TOR Browser 安装事件。 * 检测与 TOR 相关的进程执行。 * 识别与 TOR 相关的网络连接。 * 检测与模拟相关的文件创建、修改和删除活动。 * 在调查期间关联进程、文件和网络遥测数据。 ## 调查期间使用的表 | 参数 | 描述 | | --------- | ----------------------------------------------------------------------------- | | 名称 | DeviceFileEvents | | 目的 | 检测文件创建、修改、删除以及 TOR 安装工件。 | | 参数 | 描述 | | --------- | ------------------------------------------------------------------------- | | 名称 | DeviceProcessEvents | | 目的 | 检测 TOR Browser 安装、进程执行及相关活动。 | | 参数 | 描述 | | --------- | ----------------------------------------------------------------------------------------------------- | | 名称 | DeviceNetworkEvents | | 目的 | 检测与 TOR 进程相关的出站网络连接并分析通信模式。 | ## 调查目标 * 识别未经授权的软件安装证据。 * 将进程执行与网络活动相关联。 * 验证威胁狩猎查询和检测逻辑。 * 制定用于识别匿名网络使用情况的调查工作流。 * 提高组织对潜在未经授权应用程序的可见性。 ## 环境 * Microsoft Defender XDR * Microsoft Sentinel * Windows 11 实验室环境 ## 作者 **Nehal Patel** LinkedIn: https://www.linkedin.com/in/nehal-patel-162490300/ 日期:2026 年 6 月
标签:DNS 反向解析, KQL, Tor检测, 终端安全, 网络信息收集