R0sie-cyber/PowerBI-Threat-Hunting-Dashboard

GitHub: R0sie-cyber/PowerBI-Threat-Hunting-Dashboard

一个使用 Power BI 构建的多页威胁狩猎仪表板，基于模拟遥测数据对凭证滥用与横向移动活动进行调查和可视化分析。

Stars: 0 | Forks: 0

# Power BI 威胁狩猎仪表板 ![Power BI](https://img.shields.io/badge/Power_BI-Data_Analytics-yellow) ![Cybersecurity](https://img.shields.io/badge/Cybersecurity-Threat_Hunting-blue) ![MITRE ATT%26CK](https://img.shields.io/badge/MITRE-ATT%26CK_Framework-red) ## 概述本项目展示了一项使用 Power BI 进行的网络安全威胁狩猎调查。使用模拟的企业身份验证、端点、网络和威胁情报遥测数据，该仪表板分析了与受损账户相关的可疑活动，并将从初始访问到横向移动的整个调查过程进行了可视化。本项目展示了以下方面的实践技能： - 威胁狩猎 - 安全分析 - 安全事件调查 - 数据可视化 - Power BI 仪表板开发 - MITRE ATT&CK 映射 - 威胁情报分析 ## 调查场景在身份验证监控过程中，发现了一个可疑的用户账户 (**JDOE**)。进一步调查揭示了： - 可疑的 PowerShell 执行 - 涉及 LSASS 的凭证访问行为 - 合法账户滥用 - 使用 SMB 和 RDP 协议进行横向移动本次调查使用了模拟的企业遥测数据，并将其映射到相关的 MITRE ATT&CK 技术。 ## 使用的技术 - Power BI - DAX - Microsoft Excel - Sysmon - MITRE ATT&CK 框架 - 威胁情报分析 - 身份验证日志分析 - 网络流量分析 - 应急响应方法论 ## 数据源该仪表板使用五个模拟数据集构建： | 数据集 | 描述 | |----------|-------------| | AuthenticationLogs.csv | 用户身份验证活动和登录事件 | | SysmonLogs.csv | 端点进程执行遥测 | | NetworkLogs.csv | 网络通信和横向移动活动 | | MITRE.csv | ATT&CK 技术映射 | | IOC.csv | 调查期间发现的妥协指标 (IOC) | ## 仪表板页面 ### 执行摘要提供调查的高层级概述，包括： - 身份验证事件 - 受影响的主机 - 独立用户数 - 发现的 MITRE 技术 - 登录类型分布 - 按账户划分的身份验证活动 - 攻击生命周期概述 ### 身份分析专注于身份验证活动和用户行为分析。关键可视化： - 身份验证活动时间线 - 按主机划分的登录频率 - 身份验证事件表 - 基于账户的调查筛选 ### 端点分析分析通过 Sysmon 收集的端点活动。关键可视化： - 进程执行分布 - Sysmon 事件分布 - 父子进程关系 - 基于进程的调查筛选 ### 横向移动调查与横向移动相关的网络活动。关键可视化： - 网络协议使用情况 - 网络协议分布 - 横向移动事件 - 调查发现 ### 威胁情报将调查发现映射到已知的攻击者行为。关键可视化： - 发现的 MITRE ATT&CK 技术 - 严重性分布 - 妥协指标 (IOC) 表 ### 威胁总结提供最终评估和调查结论。包括： - 关键发现 - 调查范围 - 威胁评估总结 ## 攻击生命周期本次调查遵循了以下攻击序列： ``` Phishing ↓ PowerShell Execution ↓ Credential Access ↓ Valid Account Abuse ↓ SMB/RDP Lateral Movement ``` ## 关键发现 - 发现账户 JDOE 存在可疑的身份验证活动 - 通过端点遥测观察到 PowerShell 执行 - 检测到涉及 LSASS 的凭证访问行为 - SMB 和 RDP 活动表明发生了横向移动 - 活动被映射到 MITRE ATT&CK 技术 T1078, T1059.001, T1003 和 T1021 ## 发现的 MITRE ATT&CK 技术 | 技术 ID | 技术 | |-------------|-----------| | T1078 | Valid Accounts | | T1059.001 | PowerShell | | T1003 | OS Credential Dumping | | T1021 | Remote Services | | T1566 | Phishing | ## 仪表板截图 ### 执行摘要 ![执行摘要](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/529d968370113425.png) ### 身份分析 ![身份分析](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/4db7077071113430.png) ### 端点分析 ![端点遥测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/9ab14bfcd0113435.png) ### 横向移动 ![横向移动分析](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6a7a6a2bf7113441.png) ### 威胁情报 ![威胁情报](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6f7f57413d113445.png) ### 威胁总结 ![威胁总结](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/44c173e0b0113451.png) ## 展示的技能 - 威胁狩猎 - 安全运营中心 (SOC) 分析 - 安全事件调查 - 威胁情报 - MITRE ATT&CK 映射 - 安全数据可视化 - Power BI 仪表板开发 - DAX 度量和 KPI - 身份验证日志分析 - 端点检测与分析 - 网络流量分析 ## 仓库结构 ``` PowerBI-Threat-Hunting-Dashboard │ ├── data │ ├── AuthenticationLogs.csv │ ├── SysmonLogs.csv │ ├── NetworkLogs.csv │ ├── MITRE.csv │ └── IOC.csv │ ├── screenshots │ ├── ExecutiveOverview.png │ ├── IdentityAnalytics.png │ ├── EndpointAnalysis.png │ ├── LateralMovement.png │ ├── ThreatIntelligence.png │ └── ThreatSummary.png │ ├── Identity-Based Lateral Movement Investigation Dashboard.pbix │ └── README.md ``` ## 作者 **Roselyn Ojo** 计算机信息系统专业 | 网络安全辅修兴趣： - 威胁狩猎 - 威胁情报 - 安全运营中心 (SOC) - 应急响应 - 数字取证 - 网络防御 GitHub: https://github.com/R0sie-cyber

标签：Cloudflare, MITRE ATT&CK, PE 加载器, Power BI, 安全数据分析