kkroth0/threat-hunting-ptbr

GitHub: kkroth0/threat-hunting-ptbr

一个围绕 Microsoft Sentinel 构建的威胁狩猎知识库,提供 KQL 查询、狩猎方法论、Sentinel 表映射和运营节奏框架,帮助安全团队系统化地开展威胁狩猎工作。

Stars: 0 | Forks: 1

# CTH 库 以 Microsoft Sentinel 为中心的 Cyber Threat Hunting 库。 本仓库围绕以下流程组织 Hunting: ``` Ferramenta ou plataforma -> tabela Sentinel -> entidade normalizada -> cenário de hunting -> KQL -> achado ou detecção ``` ## 从这里开始 1. [Hunting 日历](cadence/hunt-calendar.md) 2. [Hunting 节奏](cadence/README.md) 3. [Hunt 库](hunts/README.md) 4. [Sentinel 表目录](sentinel/tables/index.md) 5. [KQL 库](sentinel/kql/README.md) 6. [用例](use-cases/README.md) 7. [外部研究](external-research/README.md) 8. [工具与表映射](sentinel/tables/tool-table-map.md) ## 主要部分 - [节奏](cadence/README.md):每日、每周、情报驱动和每月的 hunting 流程。 - [Hunts](hunts/README.md):映射到 KQL、工具和表的场景页面。 - [用例](use-cases/README.md):将 hunt 转化为 Sentinel 检测和监控用例的指南。 - [Sentinel](sentinel/README.md):表目录、字段规范化和 KQL 库。 - [工具](tools/README.md):映射到其提供数据的 Sentinel 表的工具。 - [数据源](data-sources/README.md):身份、端点、网络、云和 SaaS 的遥测视图。 - [平台](platforms/README.md):云和操作系统的上下文。 - [方法论](methodologies/README.md):PEAK、假设、数据、情报、LATAM 和模型辅助 hunting。 - [外部研究](external-research/README.md):将公开的 hunting 研究映射到本地 Sentinel 表、KQL 候选和用例。 - [模板](templates/README.md):可复用的页面模板。 - [脚本](scripts/README.md):支持脚本和自动化笔记。 ## 当前 Sentinel 目录 - 包含 schema 的唯一表:45 - 主 SIEM:Microsoft Sentinel - schema 来源:`references/sentinel/logmanagement-schema.txt` ## 运营节奏 | 节奏 | 目标 | | --- | --- | | 每日 Hunt | 捕获活动风险并确认数据完整性。 | | 每周 Hunt | 调查更深层的基线和反复出现的场景。 | | 情报驱动 Hunt | 将 IOC、TTP 和新情报转化为搜索。 | | 每月 Hunt | 改进覆盖率、检测、成本和路线图。 |
标签:KQL, Microsoft Sentinel, 安全运营, 扫描框架, 网络安全, 防御加固, 隐私保护