anshulgehlot/Azure-Sentinel-KQL-Detection-Rules

# 🔍 Azure Sentinel KQL 检测与威胁狩猎查询 **作者：** Anshul Gehlot | SOC 分析师 | 微软认证 SC-200 **LinkedIn：** linkedin.com/in/anshulgehlot ## 关于此仓库 此仓库包含一系列 KQL (Kusto Query Language) 查询， 这是我在作为 SOC 分析师保护拥有 5,000+ 个端点的企业环境（使用 Microsoft Azure Sentinel）期间开发并完善的。 这些查询用于： - 🛡️ 威胁检测与告警 - 🔎 主动威胁狩猎 - 📊 安全调查与分类 - 📈 仪表板与工作簿创建 ## 查询分类 | 类别 | 描述 | |---|---| | [威胁狩猎](./Threat-Hunting/) | 主动搜寻攻击者行为 | | [恶意软件检测](./Malware-Detection/) | 检测恶意软件执行与 C2 活动 | | [钓鱼调查](./Phishing-Investigation/) | 基于电子邮件的攻击分析 | | [端点威胁](./Endpoint-Threats/) | 勒索软件、权限提升、进程滥用 | | [身份与访问](./Identity-and-Access/) | 暴力破解、不可能旅行、异常登录 | ## 我的环境 - **SIEM:** Microsoft Azure Sentinel (Microsoft Sentinel) - **EDR:** Microsoft Defender for Endpoint, SentinelOne, Carbon Black - **Threat Intel:** MISP - **认证:** SC-200, AZ-900 ⭐ 如果您觉得这些内容有用，请给仓库点个 Star！

标签：AMSI绕过, Azure Sentinel, Cloud Security, Defender for Endpoint, DNS 反向解析, EDR, KQL, Kusto Query Language, Microsoft Sentinel, SC-200, Threat Hunting, 勒索软件, 威胁检测, 安全脚本, 安全运营中心, 检测规则, 端点安全, 网络安全, 网络映射, 网络资产发现, 脆弱性评估, 自定义DNS解析器, 补丁管理, 身份与访问管理, 速率限制, 钓鱼分析, 隐私保护