ThreatHuntingOps/QueryForge
GitHub: ThreatHuntingOps/QueryForge
一套面向 CrowdStrike Falcon 和 Palo Alto Cortex XDR/XSIAM 平台的威胁狩猎查询与关联检测规则集合,帮助防御者基于真实攻击活动开展假设驱动的狩猎并构建高级检测工程能力。
Stars: 0 | Forks: 0
# QueryForge 🔥
*为威胁猎手和防御者打造强大的威胁狩猎与检测工程内容。*
📖 **概述**
QueryForge 是一个精心整理的集合,包含用于 **CrowdStrike Falcon XDR**、**Palo Alto Networks Cortex XDR** 和 **Cortex XSIAM** 等平台的**威胁狩猎查询、分析和关联规则**。
本仓库通过以下方式帮助防御者**超越开箱即用的检测**:
- 开发**假设驱动的狩猎**,
- 运行有针对性的调查,
- 设计用于主动检测的**高级关联规则**,
- 持续调整内容以应对**现实世界中的攻击者**。
🎯 **威胁狩猎与检测工程方法**
每次活动均遵循结构化的方法:
1. **假设** – 关于攻击者技术的可测试假设。
2. **狩猎任务与查询** – 跨端点/XDR 数据集的分析驱动搜索。
3. **检测工程** – 转化为**关联检测内容**。
4. **验证与迭代** – 针对不断演变的攻击者战术优化检测覆盖范围。
📂 **仓库亮点**
```
/QueryForge
├─ CrowdStrike XDR/
│ ├─ Remote Monitoring & Management (RMM) Tools/
│ │ └─ RMM_Tools_Threat_Hunt.md
│ └─ PipeMagic-Backdoor/
├─ Cortex XDR/
│ ├─ Silver-Fox-APT/
│ ├─ SharePoint-0day/
│ ├─ The-DFIR-Report-Multi-Ransomware/
│ └─ WDAC-Bypass/
│ ├─ Hunt-Queries.md
│ ├─ CorrelationRule1_WDAC_EDR_Impairment.md
│ └─ CorrelationRule2_*.md
```
🌟 **特色活动**
- **WDAC Bypass** – 检测 **EDR 破坏与 WDAC 绕过技术**。包含狩猎查询与关联规则。
- **Silver Fox APT** – 与 APT 战术(持久化、提权)对齐的狩猎内容。
- **SharePoint 0‑Day** – 针对存在漏洞的 SharePoint 服务器被利用情况的查询。
- **The DFIR Report – Multi‑Ransomware** – 将 DFIR 记录的勒索软件入侵事件映射为狩猎与检测规则。
- **RMM Tools Threat Hunt** – 检测攻击者对**合法 RMM 工具**的滥用。
- **PipeMagic Backdoor** – 滥用命名管道的持久化与后门活动。
📊 **包含 MITRE ATT&CK 映射的活动概述**
| 平台 | 活动 | 重点领域 | 内容类型 | ATT&CK 映射 (示例) |
|------------------------|------------------------------------|----------------------------------------------------------|---------------------------------------|--------------------------------------------|
| **Cortex XDR / XSIAM** | WDAC Bypass | 检测 **EDR 破坏与 WDAC 绕过技术** | 狩猎查询 + 关联规则 | **Defense Evasion** (T1562.001, T1562.006) |
| **Cortex XDR / XSIAM** | Silver Fox APT | **APT 活动战术**:持久化与提权 | 狩猎查询 + 关联规则 | **Persistence** (T1547), **Privilege Esc.** (T1068) |
| **Cortex XDR / XSIAM** | SharePoint 0‑Day | **对 SharePoint 服务器的利用** | 狩猎查询 | **Initial Access** (T1190), **Execution** (T1203) |
| **Cortex XDR / XSIAM** | The DFIR Report – Multi-Ransomware | **多重勒索软件入侵检测** | 关联规则 | **Impact** (T1486), **Command & Control** (T1071) |
| **CrowdStrike XDR** | RMM Tools Threat Hunt | 滥用**合法 RMM 工具**进行持久化/远程控制 | 狩猎查询 | **Execution** (T1569.002), **Persistence** (T1136) |
| **CrowdStrike XDR** | PipeMagic Backdoor | 通过命名管道进行**持久化与后门**活动 | 狩猎查询 | **Execution** (T1059), **Persistence** (T1547.013) |
📢 **使用与署名**
- 免费使用和修改。
- 感谢注明出处:
- GitHub: [@ThreatHuntingOps](https://github.com/ThreatHuntingOps/QueryForge)
- LinkedIn: [4ale](https://www.linkedin.com/in/4ale)
🔑 **核心要点**
- **QueryForge** = 假设驱动的狩猎 + 高级关联工程。
- 按**真实攻击者活动**组织。
- 已映射至 MITRE ATT&CK。
⚡ **准备好开始狩猎了吗?**
探索这些活动,在你的 **Cortex XDR、XSIAM 或 CrowdStrike Falcon** 中运行狩猎,并将它们转化为**高保真检测规则**。
标签:0day, APT防御, Cortex XDR, Cortex XSIAM, CrowdStrike, EDR, Palo Alto Networks, RMM工具监控, TGT, WDAC绕过, 关联规则, 勒索软件防御, 协议分析, 后门检测, 威胁情报, 安全开源项目, 安全运营, 开发者工具, 扫描框架, 攻防演练, 权限提升, 知识库安全, 紫队, 网络安全, 脆弱性评估, 防御加固, 隐私保护