Aakashram1234/kql-threat-hunting
GitHub: Aakashram1234/kql-threat-hunting
一份面向 Microsoft Sentinel 的 KQL 威胁狩猎查询参考,包含逐行解析和分析师笔记,帮助 SOC 分析师学习和编写威胁狩猎查询。
Stars: 0 | Forks: 0
# KQL 威胁狩猎参考
一份用于 Microsoft Sentinel / Microsoft Defender 中 SOC 威胁狩猎的 **Kusto 查询语言(KQL)** 查询参考。每个查询都逐行解释——它做了什么、它狩猎什么,以及如何阅读结果。
KQL 是 Microsoft Sentinel 和 Microsoft Defender XDR 背后的查询语言,编写它是使用 Microsoft 技术栈的 SOC 分析师的核心日常技能。这个仓库是我的学习笔记和查询参考,在学习 KQL 的过程中逐步构建。
## 范围与说明
这里的查询基于 **标准 Microsoft 安全架构**——每个 Microsoft SOC 都使用的 `SecurityEvent` 和 `SigninLogs` 表——并遵循 Microsoft 官方文档中的模式。
我在搭建动手实践的 Microsoft 环境时构建了这个参考:我在 Azure 中部署了一个真实的 **Microsoft Sentinel** 工作区(资源组、Log Analytics 工作区、启用 Sentinel),并使用 Log Analytics 查询编辑器来学习和验证查询语法。这里使用的 KQL 运算符——`where`、`summarize`、`project`、`join`、`let`、`ago()` 和聚合函数——都在该真实工作区中进行了练习。
本仓库是一个**查询参考**,而非单一真实调查的记录:旨在展示我能够编写、解释和推理 Microsoft 技术栈上的威胁狩猎查询。
## 如何阅读本仓库
- **[01-kql-fundamentals.md](./01-kql-fundamentals.md)** — 核心 KQL 运算符,每个都附有简单示例。如果 KQL 对你来说是新的,从这里开始。
- **[queries/](./queries/)** — 威胁狩猎查询,每个狩猎一个文件,包含查询、逐行解析和分析师笔记。
## 狩猎索引
| # | 狩猎 | 表 | 检测内容 |
|---|------|-------|------------------|
| 1 | [失败登录暴力破解](./queries/01-failed-logon-bruteforce.md) | SecurityEvent | 针对一个账户/主机的多次失败登录 |
| 2 | [失败后的成功登录](./queries/02-success-after-failures.md) | SecurityEvent | 暴力破解后成功登录 |
| 3 | [异常位置登录](./queries/03-signin-unusual-location.md) | SigninLogs | 来自意外国家/地区的登录 |
| 4 | [可疑进程创建](./queries/04-suspicious-process.md) | SecurityEvent | 编码的 PowerShell、LOLBins(事件 4688) |
| 5 | [账户锁定](./queries/05-account-lockouts.md) | SecurityEvent | 账户被锁定(事件 4740) |
| 6 | [新/罕见进程](./queries/06-rare-process.md) | SecurityEvent | 在极少数主机上出现的进程 |
## 展示的核心技能
- 编写 KQL:`where`、`project`、`summarize`、`count()`、`sort` / `top`、`bin()`、`ago()`、`dcount()`、`make_set()`。
- 阅读标准 Microsoft 安全表和关键 Windows 事件 ID(4625、4624、4688、4740)。
- 将狩猎假设转化为查询,将查询结果转化为调查步骤。
- 将狩猎映射到 MITRE ATT&CK 技术。
## 关于 Microsoft 技术栈的说明
这些查询针对 Microsoft Sentinel / Defender XDR。检测*逻辑*与我在 Wazuh 检测实验室中使用的逻辑相同(参见我的其他仓库)——KQL 只是该逻辑在 Microsoft 平台上的表达方式。
标签:Azure, Brute Force Detection, Cloud Security, Cybersecurity, Data Analysis, Detection Engineering, Failed Logon, Hands-on Labs, Incident Response, InfoSec, KQL, Kusto Query Language, Log Analytics, Microsoft Defender, Microsoft Sentinel, Python, Python 实现, Query Examples, Query Language, Reference, Search Terms, Security Analytics, SecurityEvent, SEO, SigninLogs, Threat Hunting, Threat Landscape, 无后门, 红队行动