tranquil430/KC7-Threat-Hunting-Logs

GitHub: tranquil430/KC7-Threat-Hunting-Logs

一份基于 KQL 的威胁狩猎实战案例集,提供多个模拟攻击场景的详细调查报告、检测查询和 ATT&CK 映射。

Stars: 0 | Forks: 0

## KQL 威胁狩猎调查 以下是我对各种模拟网络攻击调查的详细报告。每个模块都包含攻击链的拆解分析、用于追踪对手的 KQL 查询,以及观察到的技术的 MITRE ATT&CK 映射。 | 调查 | 场景与威胁行为者 | 调查的核心技术 | 报告 | | :--- | :--- | :--- | :--- | | **AzureCrest** | 通过恶意 `.docm` 宏部署勒索软件 | 鱼叉式网络钓鱼、侦察、数据加密以造成影响 | [查看案例](./AzureCrest/AzureCrest.md) | | **CloutHaus** | 社会工程学与账户接管 | OSINT、MFA 绕过、BEC、数据外泄 | [查看案例](./CloutHaus/CloutHaus.md) | | **Jojo's Hospital** | 通过购买的凭据获取初始访问权限与勒索软件 | Cobalt Strike、数据外泄、网络发现 | [查看案例](./Jojos-Hospital/Jojos-Hospital.md) | | **WhiskerMania** | C2 Beaconing 与网络流量分析 | 协议隧道、端口分析、C2 基础设施 | [查看案例](./WhiskerMania/WhiskerMania.md) | | **Valdoria** | 内部威胁与外部入侵对比 | 键盘实操、计划任务 | [查看案例](./Valdoria/Valdoria.md) | | **Owl Records** | 高管账户劫持 | 日志分析、身份验证绕过 | [查看案例](./Owl-Records/Owl-Records.md) |
标签:Cloudflare, IP 地址批量处理, KQL, MITRE ATT&CK, 安全分析与溯源, 攻击调查, 防御加固