HuntsmanSec/sentinel-defender-kql-for-triage-and-investigation

# Microsoft Sentinel & Defender KQL 调查查询 一个精心整理的 KQL 查询集合，旨在协助安全分析师利用 Microsoft Sentinel 和 Microsoft Defender 进行深入调查、威胁搜寻和事件响应。 ## 目录 - 端点调查查询 - 电子邮件调查查询 - 身份威胁检测 - IOC 搜寻查询 - 事件响应查询 ## 支持的平台 - Microsoft Sentinel - Microsoft Defender for Endpoint - Microsoft Defender for Identity - Microsoft Defender for Office 365 ## 使用场景 - 钓鱼攻击调查 - 恶意软件执行追踪 - 凭据窃取检测 - 可疑 PowerShell 检测 - 横向移动调查 ## 示例查询 ``` DeviceProcessEvents | where Timestamp > ago(24h) | where ProcessCommandLine has_any ("mimikatz","sekurlsa","lsadump") | project Timestamp, DeviceName, AccountName, ProcessCommandLine ```

标签：CyberSecurity, EDR, KQL, Kusto 查询语言, Microsoft Defender, Microsoft Sentinel, Mimikatz 检测, PE 加载器, PowerShell 安全, 子域枚举, 安全调查, 安全运营, 开源安全工具, 恶意软件追踪, 扫描框架, 横向移动, 端点检测, 编程规范, 脆弱性评估, 逆向工程平台