goubx/Threat-Hunting-and-Security-Operations

# 威胁狩猎与安全运营 通过 Microsoft Defender for Endpoint 进行的威胁狩猎实操实验室和 SOC 调查。每个场景都涵盖了完整的狩猎生命周期，从构建假设到使用 KQL 提取日志、分析数据、调查发现的问题，再到记录响应过程。 这里的重点是实战检测工作，而非理论。每个场景都使用了来自活动虚拟机和蜜罐虚拟机的真实遥测数据，狩猎实际的攻击者行为（如暴力破解尝试和横向移动），并将发现结果映射到 MITRE ATT&CK 框架。 ## 方法论 每次狩猎都遵循相同的七个步骤结构，以确保工作的一致性和可重复性： 1. **准备。** 基于威胁情报和已知的安全漏洞定义假设。 2. **数据收集。** 从端点、网络和身份源提取相关日志。 3. **数据分析。** 运行 KQL 查询以发现异常、模式和 IOC。 4. **调查。** 深入挖掘可疑发现，确定影响范围并确认威胁。 5. **响应。** 确定遏制、根除和恢复行动。 6. **文档记录。** 记录发现了什么以及如何发现的。 7. **改进。** 记录哪些措施可以预防该活动或使狩猎更加敏锐。 ## 场景 | # | 场景 | 战术 | MITRE | 状态 | |---|----------|--------|-------|--------| | 01 | [暴力破解登录检测](https://github.com/goubx/hunting-exposed-vm-bruteforce) | 凭证访问 | T1110 | 已完成 | | 02 | [突发网络缓慢](https://github.com/goubx/hunting-internal-port-scan/tree/main) | 发现 | T1046 | 已完成 | | 03 | [数据窃取](https://github.com/goubx/hunting-data-exfiltration/tree/main) | 收集 | T1005 | 已完成 | | 04 | [零日勒索软件](https://github.com/goubx/Hunting-Zero-Day-Ransomware) | 执行 | T1059.001 | 已完成 | ## 仓库结构 ``` threat-hunting-soc/ README.md scenario-01-brute-force/ README.md queries.kql screenshots/ scenario-template/ README.md ``` 每个场景文件夹都是独立的。它包含了狩猎设置、使用的 KQL 查询、发现结果的截图、事件时间线，以及涵盖响应和预防的书面报告。 ## 工具 - Microsoft Defender for Endpoint (Advanced Hunting) - Kusto Query Language (KQL) - MITRE ATT&CK Framework ## 关于 由 Mohamed Yagoub 构建和维护，作为持续检测和响应工作的一部分。完成的场景将不断添加。

标签：EDR, HTTP工具, KQL, OpenCanary, URL发现, 安全检测, 安全运营, 扫描框架, 插件系统, 红队行动, 脆弱性评估