mazamizo21/sentinel-detection-pack

# kemettech-sentinel-detection-pack Microsoft Sentinel 分析规则及对 SOAR 友好的 KQL，提取自 真实的检测工程实践。 此包中的每个规则： - 映射到 MITRE ATT&CK 技术（单一来源的 `ATTACK_MAPPING.md`）。 - 包含记录的噪音特征（什么会触发误报，需要调优什么）。 - 提供了建议的 SOAR 操作和人工干预检查点。 - 已在至少一个生产租户中运行了三十天。 ## 文件 | 规则 | 技术 | 捕获内容 | |---|---|---| | `entra-impossible-token-replay.kql` | T1078.004 / T1550 | 来自与原始交互式登录位置不匹配的 OAuth refresh-token 重用。 | | `graph-mass-permission-grant.kql` | T1098.003 | 单个 principal 向新应用授予租户范围的高影响力 Graph 权限。 | | `defender-encoded-powershell-non-it.kql` | T1059.001 | 由非 IT 用户身份启动的 EncodedCommand PowerShell。 | | `activity-policy-change-outside-window.kql` | T1562.001 | 在已记录的变更时间窗口之外的 Azure Policy 分配变更。 | | `aws-cloudtrail-console-login-new-ip-no-mfa.kql` | T1078.004 | principal 从未使用过的 IP 在没有 MFA 的情况下进行 AWS 控制台登录。 | | `sentinel-incident-fanout-dedupe.kql` | （程序性） | 在紧凑的时间窗口内对来自 Defender-XDR 的事件进行去重，以保持 SOAR 扇出的整洁。 | ## 如何使用 1. 阅读 `ATTACK_MAPPING.md` 以确认每个规则所解决的覆盖盲区。 2. 在你的 Sentinel 工作区的 **Logs** 边栏选项卡中打开 `.kql` 文件，并针对过去七天的数据运行它。 在将其转换为分析规则之前，请阅读顶部的注释块。 3. 针对你的租户调优噪音过滤器（每个文件都有一个 `// TUNE:` 块）。 4. 连接建议的 SOAR Logic App。每个规则的注释块都指明了 Logic-App 触发器和人工干预检查点。 ## 兼容性 所有规则均针对 Log Analytics 工作区上的 Microsoft Sentinel，需具备： - 来自 Entra ID 诊断设置的 `SigninLogs` 和 `AuditLogs`。 - 来自 Defender for Endpoint（通过 M365D 连接器）的 `DeviceProcessEvents`。 - 处于管理组范围内的 Azure Activity 连接器提供的 `AzureActivity`。 - 通过 AWS S3 连接器（CloudTrail 组织轨迹）获取的 `AWSCloudTrail`。 如果缺少某个表，规则将在 Sentinel 中显示出明确的错误。没有任何规则会 静默且毫无动作。 ## 许可证 MIT。随便用，随便 fork，随便部署。如果某个规则为你的 SOC 节省了四分之一的 分析师工时，请发邮件至 support@kemettech.net —— 如果你希望我们为你 完成全套部署，请[从这里开始](https://kemettech.net/contact)。

标签：AMSI绕过, Azure, KQL, Microsoft Sentinel, Modbus, OpenCanary, SOAR, 威胁检测, 安全, 超时处理