AmadouMan/Threat-Intelligence-in-Microsoft-sentinel

# Microsoft-Sentinel-中的威胁检测 用于威胁狩猎、不同攻击场景和自动化的 KQL 使用 KQL 进行狩猎 -来自特定 IP 地址的失败登录尝试 securityEvent |where EventID == 4626//4626 代表失败登录尝试事件 |where IPAddress =="x.x.x.x"// 将 x.x.x.x 替换为特定的 IP 地址 |where TimeGenerated, Account, IPAddress, computer 注意：此查询将在 SecurityEvent 表中搜索事件 ID 4625（失败登录尝试），并过滤结果以显示 IP 地址与指定值匹配的条目。根据您的要求调整 project 语句中的列。 请记住，Microsoft Sentinel 中的 KQL 查询允许您有效地分析和操作数据。您可以使用 KQL 语法对数据进行过滤、投影、连接、汇总以及执行各种操作。 随时根据您在 Sentinel 中的特定用例或数据架构修改此查询。 -当在 AZURE Activity 中创建异常数量的资源时向您发出警报 | where OperationNameValue == "MICROSOFT.COMPUTER/VIRTUALMACHINE/WRITE" or OperationNameValue == "MICROSOFT RESOURCES/DEPLOYEMENTS/WRITE" |where ActivityStatusValue == " Succeedded" |make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d),now(),1d)by caller ``` Here are Attack and their explanations ``` 基于身份的攻击：基于身份的攻击侧重于利用与用户身份、凭证或个人信息相关的漏洞。这些攻击旨在泄露、窃取或滥用敏感数据，通常是为了获取经济利益或未经授权的访问。一些常见的基于身份的攻击类型包括： 网络钓鱼：通过伪装成可信实体来获取敏感信息的欺骗性尝试。 凭证填充：使用被盗的凭证（用户名/密码）在多个站点或服务中尝试，以获得未经授权的访问。 身份盗窃：窃取个人信息以冒充个人，用于获取经济利益或进行欺诈活动。 中间人 (MITM) 攻击：拦截通信双方之间的通信，以窃听、篡改或窃取敏感信息。 暴力破解攻击：反复尝试各种凭证组合以访问系统或账户。 Honeytokens：Honeytokens 是放置在系统中的虚假或诱饵数据，用于检测未经授权的访问或监控潜在的安全漏洞。它们看起来像真实数据，但不用于合法操作。Honeytokens 被策略性地放置在网络、数据库或系统中以吸引攻击者。如果被访问或触发，它们会发出安全漏洞信号，帮助安全团队识别和响应潜在威胁。Honeytokens 可以是未使用的凭证、虚假文件或虚假数据库条目的形式。 敏感标签：敏感标签或敏感数据标签应用于系统或数据库中需要特殊保护的具体信息，原因涉及其机密性、隐私或法规合规性。这些标签有助于识别和分类敏感信息，例如个人身份信息 (PII)、财务记录、健康数据、知识产权等。通过用敏感标签标记数据，组织可以实施严格的访问控制、加密和其他安全措施，以防止未经授权的访问或敏感信息泄露。 理解这些概念对于维护 robust 的网络安全实践、保护敏感数据以及检测组织系统和网络内的潜在安全威胁至关重要。![image] ``` Daily Automation Task ``` 威胁狩猎：使用预定义的查询或自定义狩猎查询，自动在收集的数据中搜索潜在威胁和异常的过程。 警报优先级排序和分类：根据严重性、潜在影响或相关性自动对警报进行优先级排序和分类。这可能涉及对警报进行分类并将其分配给适当的团队或工作流。 自动修复：实施自动响应操作以应对安全威胁或事件。例如，自动封锁恶意 IP 地址或隔离受损系统。 [实用威胁情报 -1.pdf](https://github.com/AmadouMan/Threat-Intelligence-in-Microsoft-sentinel/files/13853850/Practical.Threat.Intelligence.-1.pdf) 关注我获取更多技巧...... 快速且高效地工作

标签：AMSI绕过, Azure 监控, CCTV/网络接口发现, KQL, Kusto 查询语言, Microsoft Sentinel, 免杀技术, 威胁检测, 子域枚举, 安全运营, 异常行为检测, 扫描框架, 暴力破解检测, 网络安全, 身份安全, 隐私保护