yshiuki/sentinel-detection-rules

# Microsoft Sentinel 检测规则 本仓库公开了为 Microsoft Sentinel 编写的 Kusto Query Language (KQL) 检测查询。 本仓库作为 Detection Engineering 的培训及作品集进行创建。 检测规则基于实际攻击手法进行设计。 # 目的 本仓库旨在展示以下技能： - 使用 KQL 在 Microsoft Sentinel 中设计检测查询 - 基于 MITRE ATT&CK 的检测设计 - 考虑误报和漏报的检测逻辑创建 # 检测对象 目前已实现的检测规则 ① Credential Access：Password Spray Attack（T1110） ② Credential Access：Low and Slow Password Spray（T1110） ③ Privilege Escalation：Account Manipulation（T1098） ④ Execution：Suspicious PowerShell（T1059.001） ⑤ Persistence：New Service（T1050） 今后计划添加以下攻击手法的检测： - Execution：LOLBins - Persistence：Scheduled Task - Defense Evasion：Log Delete - Lateral Movement：Remote Desktop Protocol - Initial Access：Impossible Travel - Discovery：Account Discovery - Privilege Escalation：Kerberoasting - Collection：Email Collection 等 # 仓库结构 ``` sentinel-detection-rules README.md detections/ credential_access/ password_spray.kql low_and_slow_password_spray.kql Execution/ Suspicious_PowerShell_details.kql Suspicious_PowerShell_summary.kql Persistence/ New_Service privilege escalation/ Account _Manipulation.kql ``` ※ detections 文件夹中放置了预计用作 SIEM 检测规则的 KQL 查询。 # 检测规则的结构 各检测规则整理了以下信息： - Detection Logic (KQL) - 检测内容概要 - 检测目的 - 误报模式与对策 - 漏报模式与对策 - MITRE ATT&CK 映射 - 日志源 # 使用日志 主要针对以下 Microsoft Sentinel 表： - SigninLogs - SecurityEvent - AuditLogs - DeviceProcessEvents

标签：AMSI绕过, Cloudflare, KQL, Kusto, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, PowerShell监控, 凭证访问, 协议分析, 威胁检测, 安全情报, 安全运营, 密码喷洒攻击检测, 恶意服务检测, 扫描框架, 权限提升, 检测规则, 端点检测与响应, 网络安全, 网络资产发现, 脱壳工具, 账户操作监控, 速率限制, 隐私保护