sagarm365/kql-threat-hunting-playbook

GitHub: sagarm365/kql-threat-hunting-playbook

一套面向 Microsoft Defender XDR 的 KQL 检测规则集合，解决了在复杂攻击链中快速构建与映射威胁检测的能力缺口。

Stars: 0 | Forks: 0

Microsoft Defender XDR 生产环境 KQL 检测规则 — AiTM、密码喷洒、暴力破解、网络钓鱼及基于身份的攻击。MITRE ATT&CK 映射。

标签：AiTM, AMSI绕过, Azure AD, CCTV/网络接口发现, FTP漏洞扫描, KQL 检测规则, Microsoft Defender XDR, MITRE ATT&CK 映射, PoC, StruQ, 基于身份的攻击, 威胁检测, 安全编排, 密码喷洒, 异常行为检测, 暴力破解, 生产环境, 端点检测与响应, 脱壳工具, 规则开发, 账户攻击, 身份安全