jo-marcelo/mde-threat-hunting-network-slowdown

# 内部威胁狩猎 - 网络变慢 (MDE & KQL) ## 项目概述 本仓库包含一次模拟的威胁狩猎演练，利用 **Microsoft Defender for Endpoint (MDE)** 和 **Kusto Query Language (KQL)** 来检测、调查和缓解内部安全事件。 ### 场景描述 服务器基础设施团队报告称，影响内部通信网段的网络性能出现了严重且突然的下降。在排除了外部的分布式拒绝服务 (DDoS) 攻击向量后，基于以下安全约束条件，启动了内部威胁狩猎： * **默认开放信任策略：** 默认允许本地网络 (`10.0.0.0/16`) 内发起的所有跨主机流量。 * **不受限制的 Living-off-the-Land (LotL) 工具：** 完全不限制执行诸如 Windows PowerShell 等原生管理应用程序。 ### 核心目标 验证内部资产是否已被攻陷或配置不当，从而导致未经授权的横向移动、激进的扫描网络或大文件传输。 ## 狩猎方法论与检测 ### 第一步：基线验证 在启动取证分析之前，在 Microsoft Defender for Endpoint 的高级狩猎控制台中验证了遥测数据的可用性，以确保从目标子网网段持续收集数据。 ``` DeviceNetworkEvents | where DeviceName startswith "jm-win11-vm" | take 10 ``` ### 第二步：发现网络异常 为了隔离所报告的网络变慢的根本原因，针对 `DeviceNetworkEvents` 表执行了全环境范围的聚合查询。目标是搜索任何产生大量失败连接尝试的主机，这通常表明存在主动的自动化扫描或横向移动分析。 ``` DeviceNetworkEvents | where ActionType == "ConnectionFailed" | summarize FailedConnectionsAttempts = count() by DeviceName, ActionType, LocalIP | top 10 by FailedConnectionsAttempts desc ``` ### 分析结果 查询结果显示，新加入的端点 `jm-win11-vm-mde`（IP 地址为 `10.2.0.24`）产生了 massive 异常，该端点在短暂的日志记录窗口内造成了超过一百次的失败连接尝试。 图 1：高级狩猎结果暴露了该内部资产是失败网络连接的首要来源。

标签：KQL查询, Libemu, MDE, PE 加载器, 安全运营, 扫描框架, 插件系统, 网络安全, 隐私保护