sai-teja-girimaji/sentinel-kql-detection-rules
GitHub: sai-teja-girimaji/sentinel-kql-detection-rules
生产就绪的Microsoft Sentinel KQL检测规则集,映射MITRE ATT&CK并附带调优指南,解决安全团队快速部署威胁检测的问题。
Stars: 0 | Forks: 0
# Microsoft Sentinel KQL 检测规则
## 目的
本仓库包含用于 Microsoft Sentinel 的、经过生产环境验证的 KQL 检测规则。每条规则均包含查询语句、MITRE ATT&CK 映射、所需数据源、调优指南、已知误报情况以及推荐的响应操作。
规则由从业者为从业者编写。无供应商营销。无理论性检测。每一条规则都反映了真实的攻击者行为和真实的运维调优需求。
## 规则索引
| 文件 | 技术 | 战术 | 严重级别 | 数据源 |
|---|---|---|---|---|
| [T1110-暴力破解登录.md](./T1110-brute-force-signin.md) | T1110 - 暴力破解 | 凭据访问 | 高 | SigninLogs |
| [T1621-MFA疲劳攻击.md](./T1621-mfa-fatigue.md) | T1621 - MFA 请求生成 | 凭据访问 | 高 | SigninLogs |
| [T1078-不可能行程.md](./T1078-impossible-travel.md) | T1078 - 有效账户 | 初始访问 | 高 | SigninLogs |
| [T1059-powershell编码命令.md](./T1059-powershell-encoded-command.md) | T1059.001 - PowerShell | 执行 | 高 | DeviceProcessEvents |
| [T1570-psexec横向移动.md](./T1570-psexec-lateral-movement.md) | T1570 - 横向工具传输 | 横向移动 | 高 | SecurityEvent |
| [T1136-新建本地管理员账户.md](./T1136-new-local-admin-creation.md) | T1136.001 - 本地账户 | 持久化 | 高 | SecurityEvent |
| [T1098-特权角色分配.md](./T1098-privileged-role-assignment.md) | T1098.003 - 附加云角色 | 权限提升 | 严重 | AuditLogs |
| [T1485-批量文件删除.md](./T1485-mass-file-deletion.md) | T1485 - 数据破坏 | 影响 | 严重 | DeviceFileEvents |
| [T1578-Azure批量资源删除.md](./T1578-azure-mass-resource-deletion.md) | T1578.003 - 删除云实例 | 影响 | 严重 | AzureActivity |
| [T1071-DNS隧道.md](./T1071-dns-tunneling.md) | T1071.004 - DNS | 命令与控制 | 中 | DnsEvents |
## 数据源要求
| 数据源 | 所需连接器 | 许可证 |
|---|---|---|
| SigninLogs | Azure Active Directory 连接器 | Azure AD P1 或 P2 |
| AuditLogs | Azure Active Directory 连接器 | Azure AD P1 或 P2 |
| SecurityEvent | Windows 安全事件连接器 | 任意 |
| DeviceProcessEvents | Microsoft Defender for Endpoint 连接器 | MDE 计划 1 或 2 |
| DeviceFileEvents | Microsoft Defender for Endpoint 连接器 | MDE 计划 1 或 2 |
| AzureActivity | Azure 活动连接器 | 任意(免费) |
| DnsEvents | DNS 分析解决方案 | Log Analytics 工作区 |
## 如何将规则部署到 Sentinel
1. 在 Azure 门户中转到 **Microsoft Sentinel**
2. 导航到 **分析**,单击 **创建** 并选择 **计划查询规则**
3. 根据规则文件填写规则名称、描述和严重级别
4. 将 KQL 查询粘贴到 **设置规则逻辑** 部分
5. 根据每个规则文件中的说明设置 **查询频率** 和 **查找数据** 周期
6. 根据需要配置警报分组和自动化响应
7. 检查并创建
## 调优理念
每条规则都附带保守的默认阈值。如果您的环境噪音较低,请调低阈值。如果误报过多,请调高阈值。
切勿直接将规则部署到生产环境,务必先在 **模拟模式** 下运行,或在分析规则编辑器中使用 **使用当前数据测试** 来查看历史结果。
## MITRE ATT&CK 覆盖地图
完整覆盖矩阵请参见 [MITRE-覆盖.md](./MITRE-Coverage.md)。
## 作者
**Sai Teja Girimaji**
NTT DATA 云服务部门网络安全能力负责人
[LinkedIn](https://www.linkedin.com/in/girimaji-saiteja-569b356a) | [作品集](https://saiteja-security.netlify.app) | [AI 安全治理框架](https://github.com/sai-teja-girimaji/ai-security-governance-framework)
*随着新的攻击者技术出现和 Sentinel 模式更改发布,规则将定期审查和更新。*
标签:AMSI绕过, Azure安全, Cloudflare, KQL查询, Microsoft Sentinel, MITRE ATT&CK, 功能关键词, 响应操作, 威胁检测, 安全运营中心, 技术栈, 生产就绪, 网络安全, 网络映射, 误报分析, 调优指南, 隐私保护