cthdps/crowdstrike-threathunting

# CrowdStrike 威胁狩猎查询 本仓库包含从实际威胁狩猎和检测工程工作中整理、并经过规范化以供公开分享的 **CrowdStrike Falcon 威胁狩猎查询**。 重点在于 **假设驱动的狩猎**、**高信噪比检测** 以及 **分析师友好的逻辑**，而非供应商营销示例或玩具查询。 ## 本仓库是什么 ✅ CrowdStrike Falcon 事件搜索 / FQL 查询的实用库 ✅ 按战术和使用场景组织 ✅ 为威胁狩猎者、检测工程师和高级 SOC 分析师编写 ✅ 注重可读性、可审查性和可适应性 ## 本仓库不是什么 ❌ 开箱即用的检测产品 ❌ 覆盖范围的保证 ❌ 环境特定逻辑 ❌ 未经验证直接复制到生产环境 所有查询 **必须经过测试和调整** 以适配您的环境。 ## 仓库结构 每个查询均以独立的 Markdown 文件存储，包含： - 上下文与意图 - CrowdStrike 查询本身 - （适用时）MITRE ATT&CK 映射 - 预期发现与误报说明 ## 平台与语法 - **CrowdStrike Falcon** - 事件搜索 - FQL 风格语法 - 部分查询可干净地迁移至 **LogScale** 查询有意保持 **贴近原生 Falcon 语法**，以确保清晰和复制粘贴可用性。 ## 目标受众 - 威胁狩猎者（CTH / 紫队） - 检测工程师 - SOC L2–L4 分析师 - 评估真实检测逻辑的安全研究人员 ## 使用建议 1. 先阅读查询上下文 2. 在限定主机或时间范围内运行 3. 验证父子关系 4. 在告警前进行联动排查 5. 积极调整以适配您的环境 这些查询最适合用作： - 狩猎起点 - 检测工程候选方案 - 初级分析师的培训材料 ## 披露与安全 - 不包含客户数据 - 不包含生产主机名 - 不包含专有检测 - 不包含敏感的 IOC（除非已公开） 本仓库仅供 **防御性安全研究** 使用。 ## 许可证 MIT 许可证 可自由使用。请负责任地署名。

标签：AMSI绕过, Cloudflare, CrowdStrike, Event Search, Falcon, FQL, MITRE ATT&CK, PB级数据处理, SOC分析, URL发现, 事件搜索, 事件日志, 公开查询, 可复用查询, 威胁情报, 威胁检测, 威胁猎人, 安全检测, 安全运维, 实战查询, 开发者工具, 日志分析工具, 日志搜索, 日志查询, 查询模板, 检测规则, 狩猎查询, 管理员页面发现, 紫队, 网络资产发现, 防御加固