x0Hunter/Threat-Hunting-Queries

GitHub: x0Hunter/Threat-Hunting-Queries

面向 SOC 蓝队的生产级威胁检测与狩猎查询集合，覆盖 MITRE ATT&CK 框架 50+ 攻击技术，提供 Splunk SPL、ELK KQL 和 Sigma 三种格式的检测规则。

Stars: 0 | Forks: 0

# 🛡️ SOC 检测与威胁狩猎规则 [![MITRE ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-50%2B%20Techniques-blue)](https://attack.mitre.org/) [![Splunk](https://img.shields.io/badge/Splunk-SPL-green)](https://www.splunk.com/) [![ELK](https://img.shields.io/badge/ELK-KQL-orange)](https://www.elastic.co/) [![Sigma](https://img.shields.io/badge/Sigma-Rules-red)](https://sigma-rules.io/) ## 👨‍💻 关于我 **x0Hunter** | Blue Team | 检测工程师（初级） - 🎓 **BTL1 Gold** (Blue Team Level 1 - 金币) – *进行中* - 🎓 **CJDE** (认证初级检测工程师) – *下一个目标* - 🎓 **OSDA** (OffSec 防御分析师) – *已规划* **我从事的工作：** - 编写具有减少误报能力的生产级 Splunk 查询 - 为跨 SIEM 检测开发 Sigma 规则 - 在 ELK Stack 上使用 KQL 进行威胁狩猎 - 将每个检测映射到 MITRE ATT&CK 框架 **为什么建立此仓库？** 此仓库包含我的**个人检测工程作品集**。每一条规则都： - ✅ 映射了 MITRE ATT&CK (T1047, T1059, T1087, T1033 等) - ✅ 经过误报测试并带有排除过滤器 (Chocolatey, Azure AD, SCCM, PRTG, Veeam) - ✅ 达到生产级要求（语法清晰，字段使用规范） - ✅ 跨平台 (Splunk SPL, KQL, Sigma) ## 📊 MITRE ATT&CK 覆盖情况摘要 (50+ 技术) | 战术 | 技术 | 规则数量 | |--------|-----------|-----------:| | 初始访问 | T1566.001, T1133, T1190 | 6(SPL) | | 执行 | T1204.002, T1059.001, T1059.003, T1059.005 | 8(SPL) | | 持久化 | T1053.005, T1547.001, T1543.003, T1078, T1136.001 | 10(SPL) | | 防御规避 | T1562.001, T1562.004, T1027, T1036.005, T1070.001 | 10(SPL) | | 凭证访问 | T1003.001, T1110.001, T1110.003, T1555, T1558.003 | 10(SPL) | | 发现 | T1082, T1083, T1057, T1018, T1069.001 | 10(SPL) | | 横向移动 | T1021.001, T1021.002, T1021.006, T1550.002, T1210 | 10(SPL) | | 收集 | T1005, T1114.001, T1056.001, T1560.001, T1074.001 | 10(SPL) | | 数据外泄 | T1048.003, T1041, T1567.002 | 6(SPL) | | C2 | T1071.001, T1071.004, T1095, T1572, T1219 | 10(SPL) | | 影响 | T1486, T1490, T1489, T1485, T1498 | 10(SPL) | | **总计** | **50+ 技术** | **100+(SPL) 规则** | ## 📂 仓库结构 `SOC-Detection-Rules/` - 调查 (SPL 查询) - T1059.001 - 编码的 PowerShell 执行 .. - `KQL/` (50+ KQL 查询) - 调查 - `README.md` ### 当前调查 #### 001 - [T1059.001 - 编码的 PowerShell 执行](Investigations/001-Encoded-PowerShell/) #### 001 - [T1027- 混淆的文件或信息](Investigations/001-Encoded-PowerShell/) #### 001 - [T1562.001- 损害防御](Investigations/001-Encoded-PowerShell/) #### 001 - [T1105- 入口工具传输](Investigations/001-Encoded-PowerShell/) #### 001 - [T1071.001 - 应用层协议](Investigations/001-Encoded-PowerShell/) * AMSI Bypass 分析 * PowerShell 去混淆 * IOC 提取 * ATT&CK 映射 * 攻击流程开发 #### 002 - [T1033 - 系统所有者/用户发现](Investigations/002-System-Onwer-User-Discovery/) #### 003 - [T1069.001 - 权限组发现](Investigations/002-Permission-Group-Discovery/)

标签：CISA项目, DNS 反向解析, DNS 解析, ELK, HTTP工具, Modbus, PE 加载器, XXE攻击, 子域名变形, 搜索语句（dork）, 无线安全, 模拟器, 网络安全审计