YazanShanniek/PDF_Editor_Malware_IOC_Hunt.kql
GitHub: YazanShanniek/PDF_Editor_Malware_IOC_Hunt.kql
面向 Microsoft Defender XDR 的 KQL 查询集合,用于检测和狩猎与恶意 PDF 编辑器相关的威胁指标。
Stars: 0 | Forks: 0
# PDF 编辑器活动狩猎
专为 Microsoft Defender XDR 设计的 KQL 狩猎查询,旨在识别与恶意 PDF 编辑器活动相关的指标。
该查询会搜索:
- 已知的恶意 SHA256 哈希值
- 相关的域名和基础设施
- 设备文件事件
- 设备网络事件
数据源:
- DeviceFileEvents
- DeviceNetworkEvents
用例:
在受管理的端点上进行威胁狩猎和 IOC 验证。
标签:DNS 反向解析, IOC检测, KQL, Microsoft Defender XDR, 安全, 网络信息收集, 超时处理