kkroth0/threat-hunting-ptbr
GitHub: kkroth0/threat-hunting-ptbr
一个围绕 Microsoft Sentinel 构建的威胁狩猎知识库,提供 KQL 查询、狩猎方法论、Sentinel 表映射和运营节奏框架,帮助安全团队系统化地开展威胁狩猎工作。
Stars: 0 | Forks: 1
# CTH 库
以 Microsoft Sentinel 为中心的 Cyber Threat Hunting 库。
本仓库围绕以下流程组织 Hunting:
```
Ferramenta ou plataforma -> tabela Sentinel -> entidade normalizada -> cenário de hunting -> KQL -> achado ou detecção
```
## 从这里开始
1. [Hunting 日历](cadence/hunt-calendar.md)
2. [Hunting 节奏](cadence/README.md)
3. [Hunt 库](hunts/README.md)
4. [Sentinel 表目录](sentinel/tables/index.md)
5. [KQL 库](sentinel/kql/README.md)
6. [用例](use-cases/README.md)
7. [外部研究](external-research/README.md)
8. [工具与表映射](sentinel/tables/tool-table-map.md)
## 主要部分
- [节奏](cadence/README.md):每日、每周、情报驱动和每月的 hunting 流程。
- [Hunts](hunts/README.md):映射到 KQL、工具和表的场景页面。
- [用例](use-cases/README.md):将 hunt 转化为 Sentinel 检测和监控用例的指南。
- [Sentinel](sentinel/README.md):表目录、字段规范化和 KQL 库。
- [工具](tools/README.md):映射到其提供数据的 Sentinel 表的工具。
- [数据源](data-sources/README.md):身份、端点、网络、云和 SaaS 的遥测视图。
- [平台](platforms/README.md):云和操作系统的上下文。
- [方法论](methodologies/README.md):PEAK、假设、数据、情报、LATAM 和模型辅助 hunting。
- [外部研究](external-research/README.md):将公开的 hunting 研究映射到本地 Sentinel 表、KQL 候选和用例。
- [模板](templates/README.md):可复用的页面模板。
- [脚本](scripts/README.md):支持脚本和自动化笔记。
## 当前 Sentinel 目录
- 包含 schema 的唯一表:45
- 主 SIEM:Microsoft Sentinel
- schema 来源:`references/sentinel/logmanagement-schema.txt`
## 运营节奏
| 节奏 | 目标 |
| --- | --- |
| 每日 Hunt | 捕获活动风险并确认数据完整性。 |
| 每周 Hunt | 调查更深层的基线和反复出现的场景。 |
| 情报驱动 Hunt | 将 IOC、TTP 和新情报转化为搜索。 |
| 每月 Hunt | 改进覆盖率、检测、成本和路线图。 |
标签:KQL, Microsoft Sentinel, 安全运营, 扫描框架, 网络安全, 防御加固, 隐私保护