nishu4k/Threat-Hunting-for-MS-Sentinel

本仓库包含一系列精选的 Microsoft Sentinel Kusto Query Language (KQL) 查询，旨在帮助安全分析师和威胁狩猎者在其环境中检测、调查和响应潜在威胁。它包含的查询涵盖多个领域，例如可疑进程活动、异常网络行为、凭据访问尝试、钓鱼指标、持久化技术，以及从连接数据源收集的其他与安全相关的事件。这些查询可以直接使用，也可以根据组织的日志来源和检测要求进行自定义，从而在您的安全运营中实现更快速的事件响应、提升可见性以及主动的威胁狩猎。

标签：AMSI绕过, CCTV/网络接口发现, EDR, IP 地址批量处理, KQL, Kusto Query Language, Microsoft Sentinel, 凭据访问, 威胁检测, 安全态势, 安全运营中心, 异常行为检测, 持久化技术, 检测规则, 网络安全, 网络异常, 网络映射, 网络资产发现, 脆弱性评估, 隐私保护, 高级狩猎