lhuynh0x1/Incident-Response-KQL

# Incident-Response-KQL 个人收集的在实际 SOC 分析师工作中使用的 KQL（Kusto Query Language）查询——专注于使用 Microsoft Defender EDR 进行案例分诊，并支持事件响应调查。 ## 目的 该仓库作为一份不断更新的参考指南，收录了在日常 SOC 运营中被证明非常实用的 KQL 查询。查询按用例进行分类，旨在加快 Microsoft Defender 平台上的分诊、威胁狩猎和事件响应工作流程。 ## 用例 - **Defender EDR 分诊** — 在活动警报期间快速呈现相关的端点活动 - **事件响应** — 查询 IOC、横向移动、持久化和执行痕迹 - **威胁狩猎** — 跨环境主动搜索可疑模式 ## 平台 - Microsoft Defender for Endpoint (MDE) - Advanced Hunting（通过 Microsoft 365 Defender 门户） ## 结构 ``` Incident-Response-KQL/ ├── triage/ # Quick triage queries for common alert types ├── incident-response/ # IR-focused queries (lateral movement, persistence, etc.) ├── threat-hunting/ # Proactive hunting queries └── reference/ # Utility queries and table references ``` ## 用法 查询可以直接在 [Microsoft Defender Advanced Hunting](https://security.microsoft.com/v2/advanced-hunting) 门户或 Microsoft Sentinel 的 Log Analytics 工作区中运行。 *基于真实的 SOC 经验构建。请负责任地使用并根据您的环境进行调整。*

标签：KQL, Microsoft Defender, PE 加载器, 安全运营, 库, 应急响应, 扫描框架