faizaanmir/threat-hunting-playbooks
GitHub: faizaanmir/threat-hunting-playbooks
基于真实 SOC 经验构建的、映射 MITRE ATT&CK 的跨平台威胁狩猎 playbook 集合,帮助分析师在主流 SIEM 和 EDR 平台上系统化地发现特定攻击行为。
Stars: 0 | Forks: 0
# 威胁狩猎 Playbook
基于真实 SOC 运营经验构建的结构化威胁狩猎 playbook。每个 playbook 都针对特定的攻击者行为,映射到 MITRE ATT&CK,并提供跨 SIEM 和 EDR 平台的、基于假设的狩猎步骤。
**涵盖平台:** Microsoft Sentinel · Microsoft Defender XDR · IBM QRadar · Splunk · Darktrace
## Playbook 索引
| Playbook | 战术 | 技术 | 平台 |
|---|---|---|---|
| [钓鱼初始访问狩猎](initial-access/phishing-initial-access.md) | Initial Access | T1566 | Sentinel, Defender XDR |
| [NTLM 密码喷洒狩猎](credential-access/ntlm-password-spray.md) | Credential Access | T1110.003 | Sentinel, QRadar |
| [DCSync 凭据转储狩猎](credential-access/dcsync-hunt.md) | Credential Access | T1003.006 | Sentinel, Defender XDR |
| [通过 SMB 的横向移动狩猎](lateral-movement/smb-lateral-movement.md) | Lateral Movement | T1021.002 | Sentinel, Defender XDR |
| [计划任务持久化狩猎](persistence/scheduled-task-persistence.md) | Persistence | T1053.005 | Sentinel, Defender XDR |
| [DNS 数据泄露狩猎](exfiltration/dns-exfiltration.md) | Exfiltration | T1048.003 | Sentinel, Darktrace |
## Playbook 结构
每个 playbook 均遵循以下格式:
```
## 概述
## Hypothesis
## 前提条件(日志源、已接入资产)
## Hunt 步骤(编号,包含特定于平台的查询)
## 调查 Pivot
## True Positive 指标
## False Positive 指导
## 响应操作
## MITRE ATT&CK 参考
```
## 使用方法
1. 根据威胁情报提示、告警或定期狩猎计划,选择一个 playbook。
2. 验证前置条件——确认所需的日志源正在正常摄入。
3. 按顺序执行狩猎步骤。记录每个步骤的发现。
4. 使用调查枢轴(Investigation Pivots)部分,对发现的任何异常进行追踪。
5. 如果确认为真阳性(TP)——根据您的 IR 流程进行升级处理。如果确认为假阳性(FP)——记录调优笔记。
## 平台查询图例
| 标签 | 平台 |
|---|---|
| `[KQL-Sentinel]` | Microsoft Sentinel |
| `[KQL-XDR]` | Microsoft Defender XDR Advanced Hunting |
| `[SPL]` | Splunk |
| `[AQL]` | IBM QRadar |
*作者:Faizaan Sajjad — Security Specialist, Orange Cyber Defense*
*所有示例均使用经过脱敏处理的合成数据。不包含任何客户或生产数据。*
标签:Cloudflare, EDR, MITRE ATT&CK, 安全运营, 扫描框架, 脆弱性评估, 防御加固