Danielle-Respes/Northpeak-Descent-Cross-Platform-Intrusion-Sentinel-KQL-2026
GitHub: Danielle-Respes/Northpeak-Descent-Cross-Platform-Intrusion-Sentinel-KQL-2026
一个基于 Microsoft Sentinel 和 KQL 的跨平台入侵威胁狩猎练习项目,完整记录了从噪声中分离信号、逐步重构攻击链的实战调查过程。
Stars: 0 | Forks: 0
# Northpeak Descent:跨平台入侵调查
## 概述
本仓库记录了在 LOG(N) Pacific Cyber Range 内进行的一项自主威胁狩猎调查。由于这是我首次执行此特定场景,我将其视为一个专注于刻意练习的项目,以提升在 Microsoft Sentinel 和 KQL 方面的熟练度。
## 练习与社区学习
我相信真正的专业技能是在嘈杂的环境中,通过驾驭真实的遥测数据和死胡同来理解数据背后的原因而建立起来的。
**方法论:** 我专注于迭代查询优化、枢纽分析以及减少复杂数据集中的信号噪声。
**社区参与:** 我将于 2026 年 7 月 15 日参加一次社区技术复盘,以验证我的发现,压力测试我的逻辑,并将我的狩猎模式与同行的 workflows 进行比较。
**持续改进:** 复盘之后,我将使用优化后的枢纽逻辑和学到的关键经验来更新此仓库。
## 技术栈
**平台:** Microsoft Sentinel
**查询语言:** Kusto Query Language (KQL)
**Endpoint 分析:** Microsoft Defender for Endpoint (MDE)
## 目标
我的目标是超越走形式,实现对跨平台入侵模式的深刻理解。通过记录我的过程(包括返回噪声的查询和带来突破的枢纽点),我正在培养专业 Cyber Defense Analyst 岗位所需的分析肌肉记忆。
[](https://azure.microsoft.com/en-us/products/microsoft-sentinel)
[](https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr)
[](https://learn.microsoft.com/en-us/azure/data-explorer/kusto/query/)
[]()
[]()
```
THREAT DETECTED // NORTHPEAK LOGISTICS ESTATE
INTRUSION WINDOW: 16 JUN 2026 // 20:00 – 00:30 UTC
PLATFORMS: WINDOWS + LINUX
STATUS: ACTIVE INVESTIGATION
```
## 场景
一夜之间,Northpeak Logistics 网络亮起了红灯。这是一次跨平台入侵——利用有效账户,一条从隐蔽的初始据点一直延伸到影响 Windows 和 Linux 主器的攻击链。
告警队列中充斥着大量失败的登录尝试。这看起来像是暴力破解。但事实并非如此。
## 环境
| 字段 | 详情 |
|---|---|
| 目标 | Northpeak Logistics — Windows 资产 + Linux 主机 |
| SIEM | Microsoft Sentinel |
| 遥测 | Microsoft Defender XDR + Sentinel |
| Workspace | LAW-Cyber Range Sentinel |
| 查询语言 | KQL (Kusto Query Language) |
| 攻击链 | Initial Access → Recon → Pivot and Persistence → C2 → Impact |
| 狩猎构建者 | Dogukan Oruc // 狩猎负责人:SancLogic // LOG(N) Pacific Cyber Range |
| 模式 | 练习 — 在比赛结束后继续进行,以进行深入学习 |
| 社区复盘 | 2026 年 7 月 15 日 星期三 @ 22:00 英国时间 / 21:00 UTC |
## 调查进度
| 阶段 | 重点 | 状态 |
|---|---|---|
| Q00 设置门禁 | 确认 workspace,提交门禁口令 | 完成 |
| 阶段 01 Initial Access | 真实入口点,据点顺序,操作客户端 | 进行中 |
| 阶段 02 Linux Recon | 提权,工具,pivot 准备 | 未开始 |
| 阶段 03 Pivot and Persistence | 内部移动,persistence 机制 | 未开始 |
| 阶段 04 Command and Control | C2 基础设施,beacon 通道 | 未开始 |
| 阶段 05 Impact | 数据窃取,使用的 session,攻击模型 | 未开始 |
## 文档
| 文件 | 描述 |
|---|---|
| [phase-01-initial-access.md](./phase-01-initial-access.md) | 真实入口点 — 将信号与噪声分离 |
| [phase-02-linux-recon.md](./phase-02-linux-recon.md) | Linux 主机上的提权和 pivot 工具 |
| [phase-03-pivot-persistence.md](./phase-03-pivot-persistence.md) | 内部移动和 persistence |
| [phase-04-c2.md](./phase-04-c2.md) | Command and control 基础设施 |
| [phase-05-impact.md](./phase-05-impact.md) | 数据窃取和攻击模型 |
| [kql-queries.md](./kql-queries.md) | 执行的每个查询 — 包括死胡同 |
| [attack-timeline.md](./attack-timeline.md) | 完整重构的攻击链 |
## 攻击时间线
| UTC | 事件 | 主机 | 来源 | 置信度 |
|---|---|---|---|---|
| ~20:00 | 入侵窗口开启 | Northpeak 资产 | | |
| TBD | 真实初始访问 — 非暴力破解 | | Sentinel | |
| TBD | Linux 主机活动 | npt-linux01 | Defender XDR | |
| TBD | 内部 pivot | | Sentinel | |
| TBD | 建立 persistence | | MDE Registry | |
| TBD | C2 beacon | | MDE Network | |
| TBD | Impact — 触及核心资产 | | MDE File | |
| ~00:30 | 入侵窗口关闭 | | | |
## 狩猎原则
```
01 Filter first — every query scoped to Northpeak hosts
02 Separate signal from noise — the brute force storm is bait
03 Prove the order — two platforms, timestamps decide
04 Pivot on identity — one account and one address thread the case
05 Separate human from machine — hands-on-keyboard vs automation
06 Treat absence as evidence — what they did not do matters too
07 Then tell the story — entry to pivot to persistence to C2 to impact
```
## 我学到了什么
**这次狩猎旨在教授的内容:**
**我卡在哪里:**
**复盘澄清了什么:**
**下次我会做得更快的地方:**
这是我第一次进行 CTF 风格的威胁狩猎 — 在练习模式下工作是为了学习如何正确狩猎,而不是为了追求完成度而进行优化。
每一次查询、每一个死胡同、每一个错误的转弯都被记录在案。
[作品集](https://github.com/Danielle-Respes) | [LinkedIn](https://www.linkedin.com/in/danielle-respes-64113767/)
标签:KQL, Microsoft Sentinel, 安全运营, 扫描框架