KillBillKill98/security-immersion-workshops

# 安全沉浸式研讨会 来自 Microsoft Security Immersion 活动的威胁狩猎演练及类似的蓝队练习。每个研讨会都是一个独立的文件夹，包含完整的调查过程、所使用的 KQL、机器可读的 IOC，以及一个 MITRE ATT&CK Navigator 层。 我们的目标是打造一个可复用的资源库。各项调查遵循相同的结构，以便于阅读、比较和扩展。 ## 研讨会 | 研讨会 | 主题 | 恶意软件 / 参与者 | 状态 | |----------|-------|-----------------|--------| | [Into the Breach](./into-the-breach/) | 医院勒索软件，MSSP 供应链 | Sodinokibi / REvil | 已完成 | ## 每个研讨会的组织结构 ``` / ├── README.md Full threat hunting walkthrough ├── queries/ KQL per investigation phase ├── iocs/ IOCs as CSV and JSON └── mitre/ ATT&CK Navigator layer (import at https://mitre-attack.github.io/attack-navigator/) ``` ## 添加新研讨会 复制脚手架并填写内容： ``` cp -r _template my-new-workshop ``` 有关结构和规范，请参阅 [CONTRIBUTING.md](./CONTRIBUTING.md)。 ## 涉及的工具 Microsoft Defender XDR、Microsoft Sentinel、Advanced Hunting (KQL)、Microsoft Security Copilot。 ## 免责声明 所有主机名、账户、哈希和指标均属于模拟的实验室环境。这些内容仅用于教育性场景重建，而非实时的威胁情报。

标签：Cloudflare, IOC, KQL, Microsoft Defender, MITRE ATT&CK, TGT, 攻防演练, 文档安全