CYBERMED1C/MDE_Threat_Hunting_Queires

# MDE 威胁狩猎查询 ## 针对 Microsoft Defender for Endpoint 的高级 KQL 查询 本仓库包含使用 Kusto Query Language（也称为 KQL）编写的高级 Microsoft Defender for Endpoint 威胁狩猎查询。这些查询旨在支持防御性网络行动、事件响应、威胁狩猎、检测工程和安全监控活动。 本项目的目的是帮助防御者识别可疑活动、验证潜在的危害指标、丰富调查内容，并提升端点遥测数据的可见性。 ## 仅限防御用途 这些查询专为授权的防御性网络行动而创建。 它们面向在已获批准的环境中开展工作的安全团队、威胁狩猎人员、SOC 分析师、事件响应人员、检测工程师和其他授权人员。 这些查询并非用于支持未经授权的访问、漏洞利用、规避、持久驻留、恶意软件部署、凭据窃取或任何其他攻击性或恶意活动。 ## 数据来源 此集合中的查询是基于 Microsoft Defender for Endpoint Advanced Hunting 表构建的，包括但不限于： * `DeviceProcessEvents` * `DeviceNetworkEvents` * `DeviceFileEvents` * `DeviceRegistryEvents` * `DeviceLogonEvents` * `DeviceImageLoadEvents` * `DeviceEvents` * `DeviceTvmSoftwareVulnerabilities` * `DeviceTvmSoftwareInventory` 表的使用情况可能会有所不同，具体取决于特定查询、可用许可证、已启用的遥测数据、保留期和租户配置。 ## 公开报告与 TLP:CLEAR 信息 本仓库中使用的所有威胁情报引用、攻击者行为说明、APT 相关的危害指标、战术、技术、程序、恶意软件名称、基础设施引用和检测思路，均基于公开可用的信息。 信息来源可能包括： * 新闻报道 * 供应商安全报告 * 政府网络安全公告 * 公开新闻稿 * 安全研究博客 * 公开恶意软件分析报告 * 公开事件分析报告 * TLP:CLEAR 威胁情报 本仓库未故意包含任何涉密、受限、专有、机密或非公开的威胁情报。 ## APT 与 IOC 免责声明 任何对 APT 组织、威胁行为者名称、恶意软件家族、工具、基础设施、哈希值、域名、IP 地址、注册表路径、命令行模式或其他指标的引用，仅用于防御性研究和检测目的。 APT 归因可能会随时间而改变。公开报告可能包含不完整的信息、重叠的活动集群或特定供应商的命名约定。这些查询应被视为防御性线索，而非归因的最终证据。 在根据检测结果采取行动之前，分析人员应结合支持性遥测数据、时间线分析、丰富信息和组织上下文对调查结果进行验证。 ## 查询准确性 这些 KQL 查询旨在协助调查，但不保证能识别出每一个恶意事件或消除所有误报。 结果可能会因以下因素而异： * 端点遥测数据的可用性 * 传感器健康状况 * 数据保留期 * 设备载入状态 * 操作系统版本 * Defender for Endpoint 配置 * 日志可见性 * 环境基线 * 合法的管理员活动 * 软件部署模式 每个查询在用于生产环境检测逻辑或自动化响应工作流之前，都应经过审查、测试、调整和验证。 ## 推荐的分析师工作流 在使用这些查询时，分析人员应： 1. 在运行查询之前审查查询逻辑。 2. 了解正在狩猎的行为或指标。 3. 在合理的时间窗口内运行查询。 4. 根据已知的安全管理活动验证结果。 5. 透视到相关的进程、文件、网络、注册表和登录事件。 6. 使用可信的威胁情报源来丰富指标。 7. 记录调查结果、假设和证据。 8. 针对本地环境调整查询。 9. 仅在验证后将高置信度逻辑转换为检测规则。 ## 建议的时间窗口 某些查询专为短期分诊设计，而另一些则更适合长期的历史狩猎。 常见的狩猎窗口包括： * 过去 24 小时，用于主动调查 * 过去 7 天，用于近期的可疑行为 * 过去 30 天，用于战役式活动 * 过去 90 天（如果可用），用于历史审查 使用仍能支持调查的最小时间窗口。大范围搜索可能会产生嘈杂的结果或减慢查询性能。 ## 误报 某些查询可能会返回合法活动，尤其是在具有大量管理脚本、软件部署工具、远程管理平台、渗透测试活动、帮助台工具或开发人员系统的环境中。 常见的误报来源包括： * PowerShell 管理 * 远程监控和管理工具 * 软件部署系统 * 漏洞扫描器 * 备份代理 * 安全工具 * IT 自动化脚本 * 开发人员构建活动 * 内部渗透测试 * 红队评估 分析人员应在适当情况下，使用已知安全的设备、已批准的管理员账户、可信的软件路径、预期的父进程以及内部允许列表来调整查询。 ## 操作安全 切勿仅基于单个查询结果盲目地进行阻止、隔离、删除或修复操作。 推荐的验证步骤包括： * 确认设备所有者和业务功能。 * 审查父子进程关系。 * 检查命令行参数。 * 审查网络连接。 * 将活动与基线行为进行比较。 * 验证文件哈希和签名者信息。 * 检查活动是否来自已批准的工具。 * 在需要事件响应时，在修复前保留证据。 ## 命名与组织 推荐的查询命名格式： `MDE___.kql` 示例类别： * `Initial_Access` * `Execution` * `Persistence` * `Privilege_Escalation` * `Defense_Evasion` * `Credential_Access` * `Discovery` * `Lateral_Movement` * `Command_And_Control` * `Exfiltration` * `Impact` * `APT_IOC_Hunts` * `Malware_Hunts` * `Suspicious_Admin_Activity` ## 示例查询头格式 每个查询都应包含一个简短的说明头，解释查询的功能、思路来源以及使用方法。 ``` // Query Name: MDE_Execution_Suspicious_PowerShell_Download_Cradle // Purpose: Hunt for suspicious PowerShell command lines commonly associated with download cradle behavior. // Source Type: Public reporting / TLP:CLEAR research // Intended Use: Defensive cyber operations, SOC hunting, incident response // Notes: Validate results against approved administration and software deployment activity. ``` ## MITRE ATT&CK 映射 在可能的情况下，查询可能会包含 MITRE ATT&CK 技术映射。包含这些映射是为了帮助分析人员了解正在狩猎的行为，并根据攻击者的战术来组织检测规则。 MITRE 映射应作为指导参考，可能需要根据具体行为、遥测数据和查询逻辑进行调整。 ## 贡献指南 在添加或修改查询时： * 使用清晰的查询名称。 * 包含简短说明。 * 识别所使用的主要 MDE 表。 * 在适用时包含来源上下文。 * 仅使用公开或 TLP:CLEAR 来源。 * 避免包含私有客户数据。 * 避免包含敏感的内部信息。 * 为复杂逻辑添加注释。 * 保持查询的可读性和易于调整性。 * 在提交前测试查询。 * 在可能的情况下包含已知误报说明。 ## 禁止内容 这些查询将不会包含： * 涉密信息 * 受限信息 * 未经许可的专有威胁情报 * 私有客户数据 * 窃取的数据 * 有效的凭据 * 漏洞利用说明 * 恶意软件源代码 * 未经授权访问的说明 * 非公开的执法或政府信息 * 任何违反法律、合同或道德要求的信息 ## 法律与授权声明 仅在您拥有明确授权执行安全监控、调查和威胁狩猎的系统和环境中使用这些查询。 用户有责任确保所有使用行为均符合适用的法律、合同、政策、交战规则、隐私要求和组织程序。 ## 仓库目标 本仓库的目标很简单： 帮助防御者更智能地狩猎、更快速地行动，并将公开的威胁报告转化为实用的 Microsoft Defender for Endpoint 可见性。 这些查询由防御者制作，为防御者服务。

标签：IP 地址批量处理, KQL, Kusto Query Language, MDE, Microsoft Defender for Endpoint, PE 加载器, 威胁情报, 子域名变形, 安全运营中心, 开发者工具, 端点遥测, 端点防护, 管理员页面发现, 紫队, 网络信息收集, 网络安全, 网络映射, 防御性网络行动, 隐私保护, 高级狩猎