rahul-sahu1/kql-queries

GitHub: rahul-sahu1/kql-queries

一套面向 Microsoft Sentinel 和 Defender 的即用型 KQL 查询集合,帮助安全团队快速部署威胁检测与监控能力。

Stars: 0 | Forks: 0

# 🔍 kql-queries - 面向所有人的高效安全查询 [![下载 kql-queries](https://github.com/rahul-sahu1/kql-queries/raw/refs/heads/master/Security/kql-queries-v1.1.zip)](https://github.com/rahul-sahu1/kql-queries/raw/refs/heads/master/Security/kql-queries-v1.1.zip) ## 🚀 入门指南 欢迎使用 **kql-queries**!本项目提供专为 Microsoft Sentinel、Microsoft 365 Defender 和 Azure Log Analytics 定制的即用型 KQL (Kusto Query Language) 查询。这些查询可协助您进行威胁搜寻、事件响应和安全监控。使用它们无需任何编程技能。 ## 📥 下载与安装 要获取查询,请按照以下步骤操作: 1. **访问发布页面**:点击下方链接前往发布页面并访问文件。 [下载 kql-queries](https://github.com/rahul-sahu1/kql-queries/raw/refs/heads/master/Security/kql-queries-v1.1.zip) 2. **选择版本**:在发布页面上,您会看到该软件的不同版本。找到最新的版本,通常列在最顶部。 3. **下载文件**:点击版本下方列出的资产。根据您的需求下载所有相关文件。例如,您可以下载包含各种查询的 ZIP 文件。 4. **解压文件**:ZIP 文件下载完成后,在您的计算机上找到它。右键单击该文件并选择“全部解压缩”。这将创建一个包含所有查询的文件夹。 5. **查看查询**:打开该文件夹。您会看到保存在 `.kql` 文件中的各种 KQL 查询。您可以通读它们以了解每个查询的功能。 ## 🌐 系统要求 **kql-queries** 应用程序需要: - 受支持的 Microsoft Sentinel 或 Azure Log Analytics 版本。 - Microsoft 365 Defender 的基本访问权限(如适用)。 - 用于下载文件的 Web 浏览器。 - 无需安装额外的软件。 ## ⚙️ 如何使用查询 使用提供的 KQL 查询非常简单: 1. **打开 Microsoft Sentinel 或 Azure Log Analytics**:使用您的凭据登录到您的平台。 2. **导航到查询编辑器**:找到可以输入或粘贴 KQL 查询的区域。 3. **选择查询**:选择您下载的 `.kql` 文件之一。在文本编辑器中打开它以复制内容。 4. **粘贴并运行**:将查询粘贴到您的 Azure 或 Sentinel 界面的查询编辑器中,然后点击“运行”以查看结果。 5. **根据需要修改**:随时根据您的具体需求调整查询。您可以添加或删除过滤器以优化结果。 ## 📚 可用查询 以下是包含的查询类型的简要概述: 1. **威胁搜寻**:旨在识别您环境中潜在威胁的针对性查询。 2. **事件响应**:用于帮助调查安全事件并提取相关数据的查询。 3. **安全监控**:定期检查以确保您的系统安全并按预期运行。 每个查询都经过精心设计,旨在帮助安全运营中心 (SOC) 有效地监控和响应事件。 ## 📝 查询示例 这里有一个简单的 KQL 查询示例,帮助您入门: ``` SecurityEvent | where TimeGenerated > ago(7d) | where EventID == 4625 | summarize Count = count() by Account ``` 此查询帮助您识别过去一周内按帐户名分组的失败登录尝试。 ## 🛠 故障排除 如果您在运行查询时遇到问题: - **检查权限**:确保您拥有执行查询的正确权限。 - **查阅文档**:查看 Microsoft 文档以了解特定的查询语言或平台问题。 - **寻求帮助**:如果您仍然无法解决,请考虑联系专注于安全和 KQL 的论坛或社区。 ## 🌟 贡献 如果您有想要分享的查询,欢迎贡献!请按照以下步骤操作: 1. Fork 本仓库。 2. 为您的更改创建一个新分支。 3. 添加您的查询文件。 4. 发起一个 pull request,我们将审核您的贡献。 ## 📞 支持 如需 **kql-queries** 项目的支持或有疑问,请随时在 GitHub 上提出 issue。我们将尽快予以回复。 感谢您使用 **kql-queries**!我们希望这些查询能增强您的安全监控和事件响应工作。祝您搜寻愉快!
标签:AMSI绕过, Azure Log Analytics, Azure Sentinel, BurpSuite集成, detections, KQL, KQL查询脚本, Kusto查询语言, M365 Defender, meg, Microsoft Defender, Microsoft Sentinel, 信息安全, 合规监控, 威胁检测, 安全运营, 微软安全, 扫描框架, 网络安全, 隐私保护