dferrell30/Defender-KQL-Playbook

# 🔍 KQL Playbook 深度解析 本项目正在根据测试和实际使用情况进行持续优化和更新。 ## 🛡️ KQL 安全 Playbook 本仓库包含一个结构化的 KQL Playbook，适用于 Microsoft Defender 和 Entra 环境。 ## 🎯 目的 本仓库旨在提供一个**实用、可重复、结构化的 KQL Playbook**，用于 Microsoft Defender 狩猎和调查工作流程。 它旨在帮助防御者： - 搜寻可疑活动 - 验证安全控制 - 调查已知行为 - 加速分诊和响应 - 构建可重复的 Defender 狩猎工作流程 ## 📦 版本 ### 🥇 v2.0 — 零信任 KQL Playbook（最新） - 身份 + 设备 + 网络 - 零信任对齐的检测 👉 [查看 Playbook](./v2.0/zero-trust-playbook.md) ### v1.0 — Defender KQL Playbook - 以端点为中心的狩猎和调查 👉 [查看 Playbook](./v1.0/defender-playbook.md) ## 🛡️ 零信任对齐 本 Playbook 围绕零信任原则构建： - 🔐 身份 — 身份验证、访问和会话安全 - 💻 设备 — 端点行为和遥测 - 🌐 网络 — 通信和外部连接 每个部分都提供与这些支柱对齐的 KQL 查询和调查工作流程。 ## 🛡️ 零信任模型 这代表了微软零信任的支柱。 随着身份威胁的演进，A.I. 也应被视为检测和响应的新兴支柱。  ## 🎯 检测策略 零信任检测通过关联跨以下信号构建： - 🔐 身份 → 谁在访问 - 💻 设备 → 活动发生在哪里 - 🌐 网络 → 通信如何发生 当多个支柱的信号对齐时，会产生高置信度检测。 ## 🚨 问题陈述 许多 Defender KQL 仓库只是大型原始查询列表。 虽然这很有用，但这种方法往往缺少关键上下文： - 查询的目标是什么 - 为什么该行为重要 - 何时运行 - “正常”与“可疑”的区别 - 如果返回结果，接下来该做什么 👉 差距在于： 安全团队往往拥有查询，但没有**可用的狩猎 Playbook** 本仓库旨在通过提供**有组织、文档齐全、调查就绪的 KQL 内容**来填补这一空白 ## 🧠 本 Playbook 解决的问题 本 Playbook 帮助回答以下问题： - **针对此场景应运行什么查询？** - **如何解读结果？** - **Defender 中相关表有哪些？** - **应优先关注哪些可疑活动？** - **如何像调查工作流程一样使用 KQL，而不是查询列表？** ## 🧱 范围 本 Playbook 专注于 **Microsoft Defender XDR / Microsoft Defender for Endpoint 狩猎场景**，包括： - 端点执行活动 - PowerShell 行为 - 可疑进程链 - 持久性指标 - 防御规避模式 - 与身份相关的认证信号 - 事后调查工作流程 ## 📘 完整 Playbook 👉 [查看完整 KQL Playbook](./docs/KQL_Playbook_DeepDive.md) ## 相关项目 对于验证和测试场景，请参阅我的 [MDE 测试框架](https://github.com/yourname/MDE-Test-Framework) ## 🔄 调查流程 流程 → 网络 → 登录 → 告警 → 身份 ## ⚠️ 免责声明 本工具仅供**教育、测试和安全验证用途**。 使用范围应限于： - 授权环境 - 实验室或批准的企业系统 作者不承担**任何责任或风险**，包括： - 本工具的误用 - 系统损坏 - 未经授权或不适当的使用 通过使用本工具，您同意以合法和负责任的方式使用它。 ## 本项目未得到微软的关联或认可。 ## ⚖️ 专业声明 本项目是独立开发的作品。 本仓库中的观点、意见、代码和内容仅代表我个人，与任何当前或未来的雇主、客户或关联组织无关。 任何雇主、过去或现在，都未审查、批准、认可或以任何方式关联这些作品。 本项目在开发过程中未使用任何专业、机密或受限资源。 本仓库中的所有代码/语言均在包含的 MIT 许可证下提供。

标签：Azure Sentinel, FTP漏洞扫描, JSONLines, KQL, Microsoft Defender, Triage, URL发现, 可重复使用查询, 安全响应, 安全检测, 安全编排, 端点安全, 网络通信, 补丁管理, 调查工作流程, 防御加固, 零信任