owenveasey/linux-threat-detection-kql

# linux-threat-detection-kql 基于 KQL 的 Linux 威胁检测规则，专为 Microsoft Sentinel 设计，专注于使用 MITRE ATT&CK 映射进行多阶段入侵检测、权限提升和威胁狩猎。 # 使用 Microsoft Sentinel (KQL) 进行 Linux 威胁检测 ## 概述 本仓库包含一个使用 Kusto Query Language (KQL) 编写的 Microsoft Sentinel 检测规则，旨在识别涉及以下行为的多阶段 Linux 攻击： - 可疑的文件传输工具（curl、wget、rsync 等）使用 - 潜在的漏洞利用或异常的内核交互指标 - 在用户可写目录中执行 ELF 二进制文件 - 使用 `su` 进行的权限提升尝试 该检测关联了网络、进程和文件遥测数据，以识别潜在的 Linux 本地权限提升 (LPE) 活动。 ## 检测逻辑 此规则用于识别链式攻击模式： 1. 主机使用常见的远程获取工具检索外部内容 2. 观察到涉及 `algif-aead` 的可疑进程行为 3. 在 `/home/` 目录中创建了 ELF 二进制文件 4. 从用户拥有的进程执行了 `su` 权限提升尝试 这些行为的关联可能表明存在攻击后的利用活动。 ## 数据源 - DeviceNetworkEvents - DeviceProcessEvents - DeviceFileEvents ## 威胁模型 此检测与 MITRE ATT&CK 框架中的技术相对应： - T1059 – 命令和脚本解释器 - T1105 – 入侵工具传输 - T1068 – 利用漏洞进行权限提升 - T1548 – 滥用提权控制机制 ## 用例 - Linux 环境中的威胁狩猎 - 检测受损后的活动 - 监控可疑的权限提升尝试 - 识别无文件或基于用户态的攻击链 ## 注意事项 - 此规则基于行为检测，在开发或管理员环境中可能会产生误报。 - 在生产环境部署前，建议进行调优。

标签：AMSI绕过, ATT&CK框架, Azure Sentinel, Cloudflare, CSV导出, EDR, ELF二进制, KQL, Kusto Query Language, LPE, Microsoft Sentinel, MITRE ATT&CK, PB级数据处理, Web报告查看器, 协议分析, 后渗透检测, 多阶段攻击, 威胁检测, 安全运维, 恶意文件检测, 本地权限提升, 权限提升, 网络信息收集, 网络安全, 脆弱性评估, 隐私保护