k3rnelcallz/Detection-Queries
GitHub: k3rnelcallz/Detection-Queries
一套面向蓝队的SIEM检测查询集合,提供KQL和SPL格式的威胁检测规则,覆盖恶意软件识别、持久化检测和威胁狩猎场景。
Stars: 0 | Forks: 0
# 🛡️ 检测查询
[](https://opensource.org/licenses/MIT)
[](CONTRIBUTING.md)
[](https://github.com/k3rnelcallz/Detection-Queries/stargazers)
[](https://github.com/k3rnelcallz/Detection-Queries/network/members)
这是一个精心策划的 **威胁检测查询** 集合,专为安全运营、威胁狩猎和应急响应设计。这些查询可帮助蓝队在企业环境中识别恶意活动、可疑行为和失陷指标。
## 🔍 概述
本仓库作为一个集中式知识库,包含为现代安全平台构建的检测查询。每个查询都经过精心设计,用于检测现实世界的攻击者技术,并在适用的情况下映射到 [MITRE ATT&CK](https://attack.mitre.org/) 框架。
### 主要特性
| 特性 | 描述 |
|---|---|
| **生产就绪** | 查询已经过实际遥测数据的测试和验证 |
| **文档齐全** | 每个查询都包含上下文、数据源和预期输出 |
| **ATT&CK 对齐** | 映射到 MITRE ATT&CK 战术和技术 |
| **社区驱动** | 向全球安全从业者开放贡献 |
## 🚀 快速入门
### 前置条件
- 拥有受支持的 SIEM / EDR 平台访问权限(例如 **Microsoft Sentinel**、**Microsoft Defender for Endpoint**、**Splunk**、**Elastic**)
- 对查询语言有基本了解,例如 **KQL (Kusto Query Language)**、**SPL** 或 **EQL**
- 熟悉 [MITRE ATT&CK Framework](https://attack.mitre.org/)
### 快速开始
1. **克隆仓库**
git clone https://github.com/k3rnelcallz/Detection-Queries.git
cd Detection-Queries
标签:AMSI绕过, EDR, KQL, Kusto Query Language, Microsoft Sentinel, Splunk SPL, 企业安全, 入侵指标, 威胁检测, 安全脚本, 安全运营, 扫描框架, 网络安全, 网络资产管理, 脆弱性评估, 自定义DNS解析器, 隐私保护