a2awais/Threat-Hunting

# 威胁狩猎 | 检测工程 针对以下内容的**威胁狩猎**与**检测查询**集合： - **CrowdStrike Falcon**（使用 CQL – CrowdStrike 查询语言） - **Microsoft Defender XDR**（使用 KQL – Kusto 查询语言） 旨在发现可疑进程、异常网络行为、就地利用二进制文件（LOLBins）、持久化机制、凭据访问、横向移动、C2 活动以及潜在的 **APT** 行为。所有内容均尽可能映射到 **MITRE ATT&CK** 技术。 查询会根据最新的威胁情报报告、新兴活动以及实际观察结果持续更新。 ## 内容结构 - `/CrowdStrike/` → 用于 Falcon Insight / LogScale / Next-Gen SIEM 狩猎的 CQL 查询 - `/KQL/` → 用于 Microsoft Defender for Endpoint、Defender XDR 和 Sentinel 的 KQL 查询 大多数查询包含： - MITRE ATT&CK 映射 - 用例说明简要注释 - 可调参数（时间窗口、阈值、排除项） ## 许可证 可自由使用/修改/分享（欢迎注明出处）。 由 [Awais Munir](https://www.linkedin.com/in/iawais/) ❤️ 制作 有问题？欢迎通过 [GitHub Issue]() 提交或在 [LinkedIn]() 上联系我。

标签：API接口, APT, BurpSuite集成, CIDR扫描, Cloudflare, CQL, CrowdStrike Falcon, CrowdStrike Query Language, GitHub, IP 地址批量处理, KQL, Kusto Query Language, LOLBins, Microsoft Defender XDR, MITRE ATT&CK, SIEM 狩猎, StruQ, 凭证访问, 可疑进程, 命令与控制, 威胁情报, 实时处理, 密码管理, 开发者工具, 开源安全工具, 异常网络行为, 恶意行为检测, 持久化机制, 排除规则, 提示词注入, 搜索语句（dork）, 日志平台, 时间窗口, 查询模板, 模拟器, 横向移动, 编程规范, 网络信息收集, 网络安全, 逆向工程平台, 配置审计, 阈值调整, 隐私保护