NVISOsecurity/Detection-and-Hunting-Queries

# 检测与狩猎查询 该仓库包含由 NVISO 的 CSIRT 与 SOC 团队创建的检测和威胁狩猎查询。这些查询源自处理过的事件、威胁狩猎、流行趋势威胁，以及在真实世界调查中观察到的其他值得注意的活动。 虽然这些查询目前主要关注 Microsoft Sentinel 和 Defender for Endpoint，但底层平台未来可能会发生变化。主要目标是分享核心检测逻辑，您可以根据自己的独特环境对其进行微调或扩展。 您可以随意使用这些内容，不过如果能引用 [@NVISO_Labs](https://x.com/NVISO_Labs) (X) 或 [NVISOsecurity](https://github.com/NVISOsecurity/) (GitHub)，我们将不胜感激。 # 许可证 根据 MIT 许可证分发。有关更多信息，请参阅 LICENSE。

标签：AMSI绕过, Azure Sentinel, CSIRT, EDR, incident response, KQL, Kusto查询语言, MDE, Microsoft Defender for Endpoint, Microsoft Sentinel, NVISO, PB级数据处理, 威胁检测, 安全脚本, 安全运维, 检测规则, 网络安全, 网络资产发现, 脆弱性评估, 速率限制, 隐私保护