0W3RTY/KQL-Elite-Hunting

# 🛡️ KQL 精英狩猎与检测工程 欢迎来到我的个人 **Threat Hunting** 和 **Advanced Detection** 仓库。本项目旨在为 Microsoft Security 生态系统集中提供高保真检测逻辑，涵盖从云端身份到复杂 Endpoint 行为模式的方方面面。 ## 🎯 仓库理念 与通用的查询集合不同，本仓库建立在 **Detection Engineering** 的原则之上。这里分享的每一个查询都基于三个核心支柱进行构建： 1. **Alert Fatigue Reduction：** 优化的逻辑，旨在最大限度地减少嘈杂企业环境中的误报。 2. **Operational Context：** 我们不仅提供代码；还分解威胁向量和预期的对手行为。 3. **Strategic Mapping：** 与 **MITRE ATT&CK®** 的战术和技术直接对齐。 ## 📂 Hunting 库结构 | Security Pillar | Technical Coverage | Status | | :--- | :--- | :---: | | 👤 **[01-Identity-EntraID](./01-Identity-EntraID)** | 现代身份攻击：MFA Fatigue、定向密码喷射、Conditional Access 绕过尝试以及 Service Principal 异常。 | 🟢 活跃 | | 💻 **[02-Endpoint-Defender](./02-Endpoint-Defender)** | 基于主机的狩猎：Process injection、LOLDbins 使用 (certutil, powershell)、Windows Registry 持久化以及勒索软件前兆。 | 🟡 进行中 | | ☁️ **[03-CloudApps-CASB](./03-CloudApps-CASB)** | Shadow IT 监控、大规模 SaaS 数据泄露以及来自可疑出口节点 的异常访问。 | ⚪ 即将推出 | | 🛡️ **[04-Defender-Cloud](./04-Defender-Cloud)** | Infrastructure Security (IaaS/PaaS)：内部端口扫描、Azure SQL 异常以及 Public Storage Account 暴露。 | ⚪ 即将推出 | ## 🛠️ 实施与分类指南 为了充分利用这些检测，请按以下方式将其集成到您的工作流程中： ### 1. 在 Microsoft Sentinel 中部署 大多数查询设计为作为 **Hunting Queries** 或 **Analytics Rules** 部署。请注意，像 `dcount` 或 `summarize` 这样的聚合运算符需要根据您组织独特的流量基线调整阈值。 ### 2. 性能优化 在高容量环境中，查询性能至关重要。 * 我优先使用像 `has`（基于 token）这样的索引运算符，而不是 `contains`（基于子字符串），以减少 CPU 周期。 * 尽早使用 `project` 或 `distinct` 以最大限度地减少查询结果的内存占用。 ### 3. 分类与修复 每个检测文件都包含 **“Analyst Notes”**。如果查询触发真实阳性，建议的第一步是将源 IP 与 `SigninLogs` 和 `AuditLogs` 关联，以识别横向移动或持久化尝试。 ## 👋 协作与社区 网络安全是一项团队运动。如果您发现反复出现的误报，或者有加强检测逻辑的建议，请提出 **Issue** 或提交 **Pull Request**。 **联系：** 随时在 LinkedIn 上联系我，讨论 Detection Engineering 策略和 Blue Team 运营。 *“我们信任上帝，其他人我们用 KQL 监控。”*

标签：AMSI绕过, Azure, Azure Monitor, Cloudflare, Detection Rules, Entra ID, IT 安全, KQL, Kusto, MFA 疲劳攻击, Microsoft Defender, Microsoft Sentinel, MITRE ATT&CK, PB级数据处理, PE 加载器, SIEM 查询, Threat Hunting, 企业安全, 凭据访问, 初始访问, 威胁检测, 安全脚本, 安全运维, 密码喷射, 插件系统, 知识库安全, 私有化部署, 端点安全, 网络安全, 网络安全审计, 网络资产管理, 补丁管理, 防御规避, 隐私保护