abubernhzl/dfir-kql-hunting-queries

# DFIR KQL 威胁狩猎查询 用于 **数字取证与事件响应 (DFIR)** 和 **威胁狩猎** 调查的 KQL 查询集合。 这些查询专为以下平台设计： • Microsoft Sentinel • Microsoft Defender XDR • Microsoft Defender for Endpoint ## 检测覆盖范围 本仓库包含用于检测以下内容的 KQL 查询： - 数据渗出活动 - DNS 渗出 - 密码喷洒攻击 - 可疑的 PowerShell 执行 - 钓鱼邮件 - 可疑的邮件附件 - 有风险的登录 - 异常的出站连接 ## 示例用例 | 检测 | 描述 | |--------|--------| | 数据渗出 | 识别异常的出站连接和可能的数据泄露 | | 密码喷洒 | 检测跨账户的重复身份验证失败 | | DNS 渗出 | 识别高频 DNS 查询 | | 可疑 PowerShell | 检测编码或恶意的 PowerShell 命令 | ## 仓库 https://github.com/abubernhzl/dfir-kql-hunting-queries ## 作者 Abu Bakar Huzail 网络安全分析师

标签：Defender for Endpoint, DNS 渗出, EDR, KQL, Kusto 查询语言, Microsoft Defender XDR, Microsoft Sentinel, OpenCanary, URL发现, 可疑 PowerShell, 安全检测, 安全脚本, 密码喷洒, 异常检测, 数字取证, 数据渗出, 网络安全, 脆弱性评估, 自动化脚本, 身份验证攻击, 隐私保护