1stbyte/kql-threat-hunting-queries

# KQL 威胁狩猎查询 本仓库包含为行为端点威胁检测、身份调查和 SOC 威胁狩猎工作流而开发的 Microsoft Defender Advanced Hunting KQL (Kusto) 查询。 这些检测侧重于识别攻击者技术，包括防御规避、可疑进程执行、身份滥用和 Living-off-the-Land 二进制文件 (LOLBins) 滥用。 ## 检测类别 ### 端点检测 针对可疑进程执行模式的行为查询，例如： - EDR 篡改尝试 - 编码的 PowerShell 活动 - 命令行滥用指标 - 可疑的父子进程关系 ### 身份检测 旨在检测异常身份活动的查询，包括： - 可疑的设备注册所有权变更 - MFA 疲劳模式 - Azure AD / Entra ID 异常 ### 执行与持久化监控 与 MITRE ATT&CK 技术对齐的检测逻辑，例如： - 通过脚本解释器执行 - 通过创建服务实现持久化 - 通过篡改安全控制进行防御规避 ## 数据源 查询利用了 Microsoft Defender Advanced Hunting 遥测数据，包括： - DeviceProcessEvents - AuditLogs - SecurityEvent ## 目的 这些查询演示了如何将端点遥测数据转化为可操作的检测逻辑，从而支持 SOC 调查和检测工程工作流。

标签：AMSI绕过, Azure AD, Cloudflare, DNS 解析, EDR, Entra ID, IPv6, KQL, Kusto查询语言, LOLBins, MFA疲劳攻击, Microsoft Defender, MITRE ATT&CK, PowerShell, 威胁检测, 安全脚本, 安全运营中心, 安全遥测, 库, 应急响应, 搜索语句（dork）, 攻击者行为分析, 数字取证, 数据展示, 离地攻击, 私有化部署, 端点检测与响应, 紫队, 红队, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 自动化脚本, 设备注册, 身份安全, 防御规避, 隐私保护, 高级狩猎