Chkonii/Threat-Hunting-Scenarios

GitHub: Chkonii/Threat-Hunting-Scenarios

面向企业安全团队的主动式威胁狩猎场景文档库,基于 Microsoft 安全生态和 KQL 查询,提供从假设到加固的完整调查方法论。

Stars: 0 | Forks: 0

本仓库包含一系列在企业环境中进行的有文档记录的、主动式威胁狩猎操作。 这些场景并非对自动化告警的被动响应,而是由假设和管理层查询驱动的。本项目的目标是主动筛选 SIEM/XDR 遥测数据,以搜寻隐藏的配置错误,识别潜在的未授权访问,将发现的任何 TTP 映射到 MITRE ATT&CK 框架,并设计战略性的安全改进方案,以强化环境防御从而抵御未来的攻击。 ## 工具与技术 * **SIEM / XDR:** Microsoft Sentinel, Microsoft Defender for Endpoint * **查询语言:** Kusto Query Language (KQL) * **框架:** MITRE ATT&CK * **技术:** 假设驱动狩猎、日志分析、遥测关联、安全态势强化 ## 威胁狩猎方法论 本仓库中的每一次调查都严格遵循一个 7 步威胁狩猎生命周期,旨在回答关键的安全问题并改善防御态势: ### 1. 准备 * **目标:** 通过定义范围和目的来启动狩猎。 * **活动:** 基于威胁情报、环境变更或管理层查询,制定数据驱动的假设(例如:“在例行维护期间,遗留的共享服务虚拟机暴露在了互联网上。在外部暴露被关闭之前,外部攻击者是否可能已经成功暴力破解了凭据?”)。 ### 2. 数据收集 * **目标:** 从端点、网络流量和身份日志中收集相关的遥测数据。 * **活动:** 识别并确保必要数据表(如 `DeviceLogonEvents`, `DeviceInfo`)的可用性,以跟踪异常、源 IP 和身份验证记录。 ### 3. 数据分析 * **目标:** 分析收集的数据以验证假设。 * **活动:** 利用 KQL 查询数据中的模式和入侵指标(IOC)。例如,寻找暴力破解成功的证据(大量失败的登录尝试之后,紧接着从同一 IP 成功登录)。 ### 4. 调查 * **目标:** 深入挖掘以了解任何可疑发现的完整上下文。 * **活动:** 如果发现异常活动,则转移到其他日志源以确定随后发生的情况。攻击者是否实现了横向移动?是否存在可以映射到 MITRE ATT&CK 框架的相应 TTP? ### 5. 响应 * **目标:** 根据调查结果提供可操作的情报。 * **活动:** 由于这些是主动狩猎而非主动的事件响应,因此“响应”侧重于沟通:将已验证的违规行为上报给事件响应团队,或向管理层提供关于安全漏洞的明确、确切的答复。 ### 6. 文档记录 * **目标:** 创建狩猎的永久记录。 * **活动:** 系统化地记录时间线、使用的特定 KQL 查询、发现的 IOC 以及狩猎的最终结论。 ### 7. 改进 * **目标:** 弥补安全漏洞并优化防御态势。 * **活动:** 建议并实施架构更改(例如,实施 DISA STIG、配置全局账户锁定策略或部署 Bastion 主机),以确保环境在未来的防御中得到加固,以应对此类特定的攻击向量。
标签:KQL, Microsoft Sentinel, 安全运营, 扫描框架