osnolanarf/queryforge

# 查询 Forge 针对主要 SIEM/EDR 的参数化 hunting 查询生成器。根据 IOC 或行为（IOA）进行组合，选择平台和回溯时间，复制即可用于控制台的查询语句。 **演示：** https://osnolanarf.github.io/queryforge/ ## 支持的平台 | 平台 | 语言 | IOC Hunter | IOA Hunter | |---|---|---|---| | Microsoft Defender XDR | KQL | ✓ | ✓ — Process · Network · File · Registry | | CrowdStrike Falcon | CSQL / LQL (LogScale, NG-SIEM) | ✓ | ✓ — ProcessRollup2 | | Palo Alto Cortex XDR | XQL | ✓ | — | ## 工作原理 **IOC Hunter** — 粘贴 IOC 列表（哈希、IP 或域名，每行一个）。支持去特征化（defanging）格式（`1.2.3[.]4`，`hxxps://evil[.]com`）。生成器会按类型进行分类，并为每个平台生成符合语法的查询语句： - KQL — `DeviceNetworkEvents` / `DeviceFileEvents`。 - LQL (CrowdStrike) — `setTimeInterval(start=X)` + `#event_simpleName` + `select([…])`。 - XQL (Cortex) — 按 IOC 类型预设。 **IOA Hunter** — 描述一个行为（进程、父进程、祖父进程、命令行、用户、路径、注册表、文件……），即可获取适用于控制台的查询语句。支持： - KQL 中的 **多表**：`DeviceProcessEvents`、`DeviceNetworkEvents`、`DeviceFileEvents`、`DeviceRegistryEvents` — 在头部提供分段选择器。 - File 和 Registry 中用于 `ActionType` 的 **多选 Chips**（如 `FileCreated`、`RegistryValueSet` 等固定值）。 - **按字段的 与/或 Chip** — 默认使用 AND 组合过滤器；在你想要分组到备选块的字段上标记 `或`（例如 `URL 或 IP`）。 - 在包含 2 个或更多值的 cmdline 字段中，提供 **任意/全部 切换**（`has_any` 对比 `has_all`）。 - **推断的动态列表**：用逗号分隔以生成 `let Lista = dynamic([...])`（KQL）或正则交替（LQL）。 - **容错引号解析器**：将值用 `"…"` 括起来以保留空格和字面逗号（例如，带故意末尾空格的 `cmdline = "c "`）。 - 当字段包含单个 PS 值时，自动进行 **PowerShell 规范化** 为其 4 个规范二进制文件。 - LQL hunter 中提供 **可选平台**（Windows / Linux / macOS / 全部）。 - 包含 MITRE ATT&CK、假设、描述、误报和噪声水平的 **可选 Header** — 仅当存在真实元数据时才会输出。 两种工具均可：选择回溯时间并复制查询语句。 100% 在客户端运行。无后端，无遥测。数据绝不离开浏览器。 ## 技术栈 HTML + CSS + Vanilla JS。无框架，无构建步骤，无远程依赖。图标使用本地提供的 [Lucide](https://lucide.dev)。 ## 开发 直接在浏览器中打开 `index.html` 即可。如需自动重载，请使用任意静态服务器： ``` python3 -m http.server 8000 # o npx serve ``` ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

标签：CrowdStrike Falcon, CSQL, EDR, IOA, IOC, KQL, Microsoft Defender XDR, Palo Alto Cortex XDR, XQL, 多模态安全, 安全运营, 开源安全项目, 扫描框架, 攻击指标, 日志检索, 查询构建, 查询生成器, 网络威胁情报, 网络安全, 脆弱性评估, 自定义脚本, 隐私保护