faizaanmir/threat-hunting-playbooks

GitHub: faizaanmir/threat-hunting-playbooks

基于真实 SOC 经验构建的、映射 MITRE ATT&CK 的跨平台威胁狩猎 playbook 集合,帮助分析师在主流 SIEM 和 EDR 平台上系统化地发现特定攻击行为。

Stars: 0 | Forks: 0

# 威胁狩猎 Playbook 基于真实 SOC 运营经验构建的结构化威胁狩猎 playbook。每个 playbook 都针对特定的攻击者行为,映射到 MITRE ATT&CK,并提供跨 SIEM 和 EDR 平台的、基于假设的狩猎步骤。 **涵盖平台:** Microsoft Sentinel · Microsoft Defender XDR · IBM QRadar · Splunk · Darktrace ## Playbook 索引 | Playbook | 战术 | 技术 | 平台 | |---|---|---|---| | [钓鱼初始访问狩猎](initial-access/phishing-initial-access.md) | Initial Access | T1566 | Sentinel, Defender XDR | | [NTLM 密码喷洒狩猎](credential-access/ntlm-password-spray.md) | Credential Access | T1110.003 | Sentinel, QRadar | | [DCSync 凭据转储狩猎](credential-access/dcsync-hunt.md) | Credential Access | T1003.006 | Sentinel, Defender XDR | | [通过 SMB 的横向移动狩猎](lateral-movement/smb-lateral-movement.md) | Lateral Movement | T1021.002 | Sentinel, Defender XDR | | [计划任务持久化狩猎](persistence/scheduled-task-persistence.md) | Persistence | T1053.005 | Sentinel, Defender XDR | | [DNS 数据泄露狩猎](exfiltration/dns-exfiltration.md) | Exfiltration | T1048.003 | Sentinel, Darktrace | ## Playbook 结构 每个 playbook 均遵循以下格式: ``` ## 概述 ## Hypothesis ## 前提条件(日志源、已接入资产) ## Hunt 步骤(编号,包含特定于平台的查询) ## 调查 Pivot ## True Positive 指标 ## False Positive 指导 ## 响应操作 ## MITRE ATT&CK 参考 ``` ## 使用方法 1. 根据威胁情报提示、告警或定期狩猎计划,选择一个 playbook。 2. 验证前置条件——确认所需的日志源正在正常摄入。 3. 按顺序执行狩猎步骤。记录每个步骤的发现。 4. 使用调查枢轴(Investigation Pivots)部分,对发现的任何异常进行追踪。 5. 如果确认为真阳性(TP)——根据您的 IR 流程进行升级处理。如果确认为假阳性(FP)——记录调优笔记。 ## 平台查询图例 | 标签 | 平台 | |---|---| | `[KQL-Sentinel]` | Microsoft Sentinel | | `[KQL-XDR]` | Microsoft Defender XDR Advanced Hunting | | `[SPL]` | Splunk | | `[AQL]` | IBM QRadar | *作者:Faizaan Sajjad — Security Specialist, Orange Cyber Defense* *所有示例均使用经过脱敏处理的合成数据。不包含任何客户或生产数据。*
标签:Cloudflare, EDR, MITRE ATT&CK, 安全运营, 扫描框架, 脆弱性评估, 防御加固