nisakson2000/Detection-Hunting-Queries

# 🔎 检测与狩猎查询 这是一个用于 **Microsoft Sentinel** 和 **Defender XDR** 的 KQL 检测规则和狩猎查询集合，按 [MITRE ATT&CK](https://attack.mitre.org/) 战术组织。 **作者：** [Nick Isakson](https://github.com/nisakson2000) — 信息安全分析师 | [Detections.AI 个人主页](https://detections.ai/user/nisakson2000) ## 📂 仓库结构 查询按 MITRE ATT&CK 战术组织。每个 `.kql` 文件都包含带有内联文档的完整查询，其中包括作者说明、MITRE 映射、数据源要求和调优指南。 ``` ├── initial-access/ ├── discovery/ ├── persistence/ ├── execution/ ├── credential-access/ ├── command-and-control/ ├── exfiltration/ └── security-operations/ ``` ## 🎯 查询索引 ### 初始访问 (TA0001) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [失窃设备登录检测](initial-access/stolen-device-logon-detection.kql) | T1078 | 检测在被报告为失窃或丢失的设备上的成功登录活动，并结合 Azure AD 登录日志中的 ISP IP 数据进行了丰富。 | | [钓鱼调查与影响分析](initial-access/phishing-investigation-impact-analysis.kql) | T1566.001, T1566.002, T1204 | 综合钓鱼分类查询，将邮件送达、URL 点击、附件、端点文件活动、回复行为以及送达后 ZAP 操作关联到每个收件人的单一视图中。 | ### 发现 (TA0007) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [易受攻击软件版本发现](discovery/vulnerable-software-version-discovery.kql) | T1518.001 | 用于识别运行易受攻击软件版本的设备的模板查询。支持配置软件名称、版本比较和 CVE 标记。 | ### 持久化 (TA0003) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [敏感组员身份变更](persistence/sensitive-group-membership-changes.kql) | T1098 | 检测敏感 Active Directory 组（如 Domain Admins、Enterprise Admins 等）中成员的添加或移除。 | | [ChatGPT Stealer 扩展安装](persistence/chatgpt-stealer-extension-installation.kql) | T1176 | 检测与针对 AI 会话令牌的 ChatGPT Stealer 活动相关的已知恶意浏览器扩展 ID 的安装。 | ### 执行 (TA0002) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [Winget 滥用检测](execution/winget-abuse-detection.kql) | T1218, T1059, T1105 | 针对 winget.exe 滥用的多层检测，包括命令行 Shell 生成、临时路径执行、可疑网络出口以及未签名二进制文件投放。 | ### 凭据访问 (TA0006) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [基于 ML 的特权账户异常检测](credential-access/ml-privileged-account-anomaly-detection.kql) | T1078, T1098, T1087, T1556 | 多层、自校准检测，结合了统计异常检测、绝对规则、基于比率的阈值、行为偏移分析、侦察异常检测以及特权账户的 MFA 缺口检测。 | ### 命令与控制 (TA0011) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [CATO Networks 阻断 URL 访问](command-and-control/cato-networks-blocked-url-access.kql) | T1189, T1071.001 | 识别来自 CATO Networks 安全策略的阻断 URL 访问尝试，支持可配置的设备和 URL 过滤。 | | [ChatGPT Stealer C2 域名](command-and-control/chatgpt-stealer-c2-domains.kql) | T1071.001, T1567 | 检测与用于 AI 会话令牌数据窃取的 ChatGPT Stealer 活动相关的已知 C2 域名的网络连接。 | ### 数据窃取 (TA0010) | 查询 | 技术 | 描述 | |:------|:----------|:------------| | [USB 文件复制 — Intune 丰富](exfiltration/usb-file-copy-intune-enriched.kql) | T1052.001 | 检测写入 USB 驱动器的文件，并结合全舰队 PnP 事件进行了丰富，提供了用于 Intune 设备控制交叉引用的 VID_PID、InstancePathId 和 SerialNumberId。 | | [周期性 AI 数据窃取（信标）](exfiltration/periodic-ai-data-exfiltration-beaconing.kql) | T1071.001, T1041 | 检测来自浏览器进程到外部域名的周期性信标行为，旨在捕获恶意扩展在大约 30 分钟间隔进行的自动化数据窃取。 | ### 安全运营 | 查询 | 描述 | |:------|:------------| | [MSSP 警报跟踪与去重](security-operations/mssp-alert-tracking-deduplication.kql) | 可配置的查询，用于跟踪和去重来自 MSSP 的警报电子邮件，使用会话逻辑对邮件突发进行分组并从门户 URL 中提取案例编号。 | | [按组织分类的 Imperva WAF 阻断请求](security-operations/imperva-waf-blocked-requests-by-org.kql) | Imperva WAF 阻断请求的多层聚合，富含 ASN/组织数据，从模式 → 攻击类型 → IP → 组织进行汇总以进行威胁分析。 | | [邮件送达遥测与威胁暴露](security-operations/email-delivery-telemetry-threat-exposure.kql) | 识别邮件量最大且威胁暴露最高的账户，包括针对绕过过滤并到达用户收件箱的威胁的关键风险指标。 | ## 🛠️ 平台 - **Microsoft Sentinel**（主要 — 使用 `TimeGenerated`） - **Microsoft Defender XDR** Advanced Hunting（如注所示，将 `TimeGenerated` 替换为 `Timestamp`） ## 📝 用法 每个查询都是包含内联文档的独立文件。将 `.kql` 文件的内容直接复制到您的 Sentinel Logs 或 Defender Advanced Hunting 查询编辑器中。在部署之前，请查看每个查询顶部的配置部分，并针对您的环境调整参数（时间窗口、阈值、排除列表）。 ## 📄 许可证 这些查询是为了安全社区的利益而共享的。可自由使用和修改。感谢注明出处，但非必须。

标签：AMSI绕过, Azure, Azure AD, Cloudflare, Defender XDR, Detection-Engineering, EDR, EDR查询, KQL, Kusto查询语言, meg, Microsoft Sentinel, MITRE ATT&CK, SecOps, Sigma规则, 云安全架构, 信息安全, 凭据访问, 初始访问, 发现, 命令与控制, 威胁检测, 安全运营, 执行, 扫描框架, 搜索语句（dork）, 数据窃取, 目标导入, 网络安全, 脆弱性评估, 速率限制, 钓鱼分析, 隐私保护