tranquil430/KC7-Threat-Hunting-Logs
GitHub: tranquil430/KC7-Threat-Hunting-Logs
一份基于 KQL 的威胁狩猎实战案例集,提供多个模拟攻击场景的详细调查报告、检测查询和 ATT&CK 映射。
Stars: 0 | Forks: 0
## KQL 威胁狩猎调查
以下是我对各种模拟网络攻击调查的详细报告。每个模块都包含攻击链的拆解分析、用于追踪对手的 KQL 查询,以及观察到的技术的 MITRE ATT&CK 映射。
| 调查 | 场景与威胁行为者 | 调查的核心技术 | 报告 |
| :--- | :--- | :--- | :--- |
| **AzureCrest** | 通过恶意 `.docm` 宏部署勒索软件 | 鱼叉式网络钓鱼、侦察、数据加密以造成影响 | [查看案例](./AzureCrest/AzureCrest.md) |
| **CloutHaus** | 社会工程学与账户接管 | OSINT、MFA 绕过、BEC、数据外泄 | [查看案例](./CloutHaus/CloutHaus.md) |
| **Jojo's Hospital** | 通过购买的凭据获取初始访问权限与勒索软件 | Cobalt Strike、数据外泄、网络发现 | [查看案例](./Jojos-Hospital/Jojos-Hospital.md) |
| **WhiskerMania** | C2 Beaconing 与网络流量分析 | 协议隧道、端口分析、C2 基础设施 | [查看案例](./WhiskerMania/WhiskerMania.md) |
| **Valdoria** | 内部威胁与外部入侵对比 | 键盘实操、计划任务 | [查看案例](./Valdoria/Valdoria.md) |
| **Owl Records** | 高管账户劫持 | 日志分析、身份验证绕过 | [查看案例](./Owl-Records/Owl-Records.md) |
标签:Cloudflare, IP 地址批量处理, KQL, MITRE ATT&CK, 安全分析与溯源, 攻击调查, 防御加固