MaikCyberSec/Threat-Hunting-

🛡️ Threat-Hunting 基于 KQL (Kusto Query Language) 的威胁狩猎 📌 概述 欢迎访问 Threat-Hunting，这是一个专注于使用 Kusto Query Language (KQL) 进行主动威胁检测的实战与研究型仓库。 该项目旨在帮助安全分析师、SOC 团队和网络安全爱好者在以下环境中检测、调查和狩猎高级威胁： Microsoft Sentinel Microsoft Defender for Endpoint Azure Data Explorer Log Analytics Workspaces 本仓库不等待警报，而是强调主动威胁狩猎技术——通过强大的 KQL 查询识别可疑行为、发现隐藏的持久化机制，并检测隐蔽的攻击者活动。 🎯 目标 构建真实世界的实用 KQL 狩猎查询 检测攻击者的 TTP（与 MITRE ATT&CK 对齐的技术） 识别异常和可疑行为模式 提升检测工程技能 提供可复用且可定制的狩猎模板 🔍 这里的内容 📂 分类 KQL 狩猎查询 🧠 基于行为的检测技术 🛠️ 调查工作流 📊 查询解释和调优指南 🧪 经实验室测试的威胁狩猎场景 🚀 适用人群 该仓库非常适合： SOC 分析师 威胁猎人 检测工程师 蓝队成员 网络安全学生 任何学习 KQL 用于安全分析的人 ⚡ 为什么选择 KQL 进行威胁狩猎？ KQL 能够实现： 跨海量数据集的高速查询 行为分析和模式检测 深度日志关联 高级过滤和异常识别 掌握 KQL 意味着具备从警报驱动的安全模式向情报驱动的威胁狩猎模式转变的能力。 📖 入门指南 克隆该仓库 打开你的 Microsoft Sentinel 或 Log Analytics 工作区 复制并运行提供的查询 根据你的环境调整查询 扩展并贡献 🚀 🤝 贡献 欢迎贡献！ 随时提交： 改进的查询 新的狩猎技术 性能优化 检测改进 🔐 免责声明 这些查询仅用于教育和防御性安全目的。 在生产环境中部署之前，请务必在受控环境中测试查询。

标签：Azure 数据浏览器, EDR, KQL, Kusto Query Language, MDE, Microsoft Defender for Endpoint, Microsoft Sentinel, RFI远程文件包含, Windows 安全, 安全脚本, 安全运营中心, 库, 应急响应, 异常检测, 攻击模拟, 数据查询, 网络安全, 网络映射, 脆弱性评估, 隐私保护, 驱动签名利用