Tohru-art/kql-detection-library
GitHub: Tohru-art/kql-detection-library
一套面向 Microsoft Sentinel 与 MDE 的生产级 KQL 检测规则集合,包含 MITRE ATT&CK 映射与调优指导,帮助安全团队快速部署高质量告警规则。
Stars: 0 | Forks: 0
# KQL 检测库
一系列用于 Microsoft Sentinel 和 Microsoft Defender for Endpoint 的生产级 KQL 检测规则集合。
每条规则均包含带有内联注释的 KQL 查询、MITRE ATT&CK 映射、调优建议以及推荐的警报严重级别。
## 规则
| # | 规则 | MITRE 技术 | 严重级别 |
|---|------|----------------|----------|
| 01 | [暴力破解 / 密码喷洒](rules/01-brute-force-password-spray.md) | T1110.003 | 高 |
## 结构
```
rules/
└── 01-brute-force-password-spray.md
```
## 工具
Microsoft Sentinel · Microsoft Defender for Endpoint · KQL (Kusto Query Language)
标签:AMSI绕过, Cloudflare, EDR, KQL, KQL检测规则, Kusto Query Language, MDE, Microsoft Defender for Endpoint, Microsoft Sentinel, MITRE ATT&CK, PoC, SecOps, 云安全架构, 告警规则, 威胁检测, 安全基线, 安全规则库, 安全运营, 密码喷洒, 扫描框架, 教学环境, 暴力破解, 生产可用, 端点安全, 红队行动, 网络安全, 脆弱性评估, 补丁管理, 隐私保护