michaeledwards0/threat-hunting

GitHub: michaeledwards0/threat-hunting

一份记录在 Azure Cyber Range 环境中使用 Microsoft Sentinel 和 Defender for Endpoint 进行威胁狩猎与应急响应的实战案例集合。

Stars: 0 | Forks: 0

# 威胁狩猎与安全运营 **环境:** LOG(N) Pacific Cyber Range · Azure Lab **工具:** `Microsoft Sentinel` `Defender for Endpoint` `KQL` `Log Analytics Workspaces` `Azure VMs` [← 返回作品集](../README.md)
## 概述 威胁狩猎是一种主动寻找被自动化检测遗漏的入侵证据的实践。它要求你对“正常”状态有足够的了解,从而识别出异常情况——并愿意顺藤摸瓜,无论线索指向何方。 本页面记录了我在 LOG(N) Pacific Cyber Range 中完成的威胁狩猎和安全运营工作。每个案例都带来了不同的挑战:不同的攻击者技术、不同的工具、不同的调查路径。 ## 案例研究 ### 🔴 [威胁狩猎:突发网络缓慢 —— PowerShell LOLBin 调查](./cases/network-slowdown-powershell.md) **类型:** 威胁狩猎 → 应急响应 **环境:** Cyber Range Lab — Windows Azure VM **工具:** KQL Microsoft Defender for Endpoint Log Analytics Workspaces 一台暴露在互联网上的 Windows VM 开始表现出异常的网络行为——大量出站连接失败,且没有明显的原因。起初作为一次网络缓慢调查,最终却发现了可疑的 PowerShell 执行链,这与“就地取材”(Living-off-the-Land, LOLBin)的攻击者惯用手法一致。 **主要发现:** 单台主机产生了 182 次以上的失败出站连接,主要集中在 TCP 80/443 端口——这不是扫描行为,而是异常的通信量 转向进程遥测数据,发现了带有 ExecutionPolicy Bypass 标志的 cmd.exe → powershell.exe 执行链 包含 portscan.ps1 和分阶段 payload 在内的脚本,通过 Invoke-WebRequest 从外部 URL 拉取 映射到 MITRE ATT&CK:T1059.001, T1562.001, T1105, T1046 结果:扫描未发现确认的恶意软件。设备被隔离并标记为需要重装镜像。强化了 NSG 规则,并为 PowerShell 执行策略绕过模式创建了检测规则。 ### 🟠 [威胁狩猎:疑似处于 PIP 期员工的数据外泄](./cases/data-exfiltration-piped-employee.md) **类型:** 威胁狩猎 → 应急响应 **环境:** Cyber Range Lab — Windows Azure VM **工具:** KQL Microsoft Defender for Endpoint Log Analytics Workspaces 一名处于绩效改进计划(PIP)的员工被管理层标记为潜在的内部威胁。调查重点利用 MDE 遥测数据,跨文件、进程和网络日志,检测该员工公司设备上的数据归档、暂存和外泄活动。 **主要发现:** 发现 C:\ProgramData\backup\ 目录中存在重复创建 .zip 归档和重命名文件的活动,这与数据暂存行为一致 识别出设备上创建的 exfiltratedata.ps1 脚本——这是一个用于归档和外泄员工数据的 PowerShell 脚本 在可疑活动前后的 40 分钟时间窗口内,未检测到确认的网络数据外泄 映射到 MITRE ATT&CK:T1059.001, T1560, T1074, T1041(疑似),T1048(疑似) **结果:** 调查结果已报告给该员工的经理。设备已被隔离,等待进一步指示。建议实施 PowerShell 加固和 DLP 规则。 ### 🔵 [威胁狩猎:意外暴露在互联网上的设备 —— 暴力破解调查](./cases/devices-exposed-internet.md) **类型:** 威胁狩猎 → 应急响应 **环境:** Cyber Range Lab — Windows Azure VM **工具:** `KQL` `Microsoft Defender for Endpoint` `Log Analytics Workspaces` 在例行维护期间,发现共享服务集群中的一台 Windows VM 在未经授权的情况下已面向互联网开放了数天。调查重点是识别来自外部 IP 的暴力破解登录尝试,并确定是否发生了任何未经授权的访问。 **主要发现:** - 设备从 `2026-02-01` 到 `2026-02-03` 一直面向互联网——暴露时间超过 48 小时 - 多个外部 IP 尝试了失败的网络登录,其中攻击最频繁的 IP 尝试了 25 次 - 没有任何攻击 IP 成功登录 - 只有 `labuser0` 账户成功登录——全部来自预期的内部 IP,且零失败尝试,排除了暴力破解的可能性 - 映射到 MITRE ATT&CK:T1133, T1110, T1078, T1021 **结果:** 未确认有未经授权的访问。NSG 已加固,限制 RDP 仅能访问特定端点。实施了账户锁定策略。 ### 🔵 [威胁狩猎实验:Tor 浏览器的使用](
标签:Azure, Burp Suite 替代, KQL, Microsoft Defender, OpenCanary, 安全案例库, 安全运营, 扫描框架, 插件系统, 网络信息收集, 网页分析工具