nehalcanadaedu-maker/tor-threat-hunting-report
GitHub: nehalcanadaedu-maker/tor-threat-hunting-report
一份基于 Microsoft Defender XDR 和 Sentinel 的威胁狩猎报告,演示如何在 Windows 环境中检测和调查未经授权的 Tor Browser 使用。
Stars: 0 | Forks: 0
# 威胁狩猎场景:未经授权的 TOR Browser 使用
## 概述
此威胁狩猎场景侧重于在受监控的 Windows 环境中检测未经授权的 TOR Browser 安装和使用。TOR 可用于绕过组织网络控制、隐藏网络活动或通过匿名渠道进行通信。本次练习的目的是识别相关遥测数据、调查入侵指标(IoC),并使用 Microsoft Defender XDR 和 Microsoft Sentinel 验证检测逻辑。
## 检测目标
* 检测 TOR Browser 下载活动。
* 识别 TOR Browser 安装事件。
* 检测与 TOR 相关的进程执行。
* 识别与 TOR 相关的网络连接。
* 检测与模拟相关的文件创建、修改和删除活动。
* 在调查期间关联进程、文件和网络遥测数据。
## 调查期间使用的表
| 参数 | 描述 |
| --------- | ----------------------------------------------------------------------------- |
| 名称 | DeviceFileEvents |
| 目的 | 检测文件创建、修改、删除以及 TOR 安装工件。 |
| 参数 | 描述 |
| --------- | ------------------------------------------------------------------------- |
| 名称 | DeviceProcessEvents |
| 目的 | 检测 TOR Browser 安装、进程执行及相关活动。 |
| 参数 | 描述 |
| --------- | ----------------------------------------------------------------------------------------------------- |
| 名称 | DeviceNetworkEvents |
| 目的 | 检测与 TOR 进程相关的出站网络连接并分析通信模式。 |
## 调查目标
* 识别未经授权的软件安装证据。
* 将进程执行与网络活动相关联。
* 验证威胁狩猎查询和检测逻辑。
* 制定用于识别匿名网络使用情况的调查工作流。
* 提高组织对潜在未经授权应用程序的可见性。
## 环境
* Microsoft Defender XDR
* Microsoft Sentinel
* Windows 11 实验室环境
## 作者
**Nehal Patel**
LinkedIn: https://www.linkedin.com/in/nehal-patel-162490300/
日期:2026 年 6 月
标签:DNS 反向解析, KQL, Tor检测, 终端安全, 网络信息收集