faizaanmir/kql-query-pack

GitHub: faizaanmir/kql-query-pack

一套按 MITRE ATT&CK 战术分类的 KQL 威胁检测查询集合,专为 Microsoft Sentinel 和 Defender XDR 环境设计,帮助安全团队快速部署威胁狩猎与事件调查规则。

Stars: 0 | Forks: 0

# KQL 查询包 — Microsoft Sentinel 与 Defender XDR 精心整理的 KQL(Kusto Query Language)查询集合,用于威胁检测、威胁狩猎和事件调查。按 MITRE ATT&CK 战术进行组织。 所有查询均已针对 Microsoft Sentinel 和/或 Microsoft Defender XDR Advanced Hunting 架构进行测试。数据已脱敏 — 不包含生产环境或客户数据。 ## 结构 ``` kql-query-pack/ ├── identity/ # TA0006 - Credential Access, TA0005 - Defense Evasion ├── endpoint/ # TA0002 - Execution, TA0003 - Persistence, TA0004 - Privilege Escalation ├── email/ # TA0001 - Initial Access (Phishing) ├── lateral-movement/ # TA0008 - Lateral Movement ├── persistence/ # TA0003 - Persistence └── exfiltration/ # TA0010 - Exfiltration ``` ## 架构参考 | 查询文件夹 | 主表 (Sentinel) | 主表 (Defender XDR) | |---|---|---| | identity | SigninLogs, AADNonInteractiveUserSignInLogs | IdentityLogonEvents | | endpoint | SecurityEvent, Sysmon | DeviceProcessEvents, DeviceFileEvents | | email | EmailEvents (Defender for O365) | EmailEvents | | lateral-movement | SecurityEvent | DeviceLogonEvents, IdentityLogonEvents | | persistence | SecurityEvent, AuditLogs | DeviceRegistryEvents, DeviceScheduledTaskEvents | | exfiltration | DnsEvents, CommonSecurityLog | DeviceNetworkEvents | ## 用法 每个 `.kql` 文件包含: - **描述** — 查询检测的内容及其重要性 - **MITRE ATT&CK 映射** — 战术与技术 ID - **数据源** — 所使用的表 - **查询** — KQL 语句 - **调优说明** — 误报指导与阈值建议 ## 查询索引 ### 身份 | 文件 | 技术 | 描述 | |---|---|---| | `identity/ntlm-brute-force.kql` | T1110.002 | 检测来自单一来源的 NTLM 密码喷射 | | `identity/dcsync-detection.kql` | T1003.006 | 检测来自非 DC 主机的 DCSync 复制请求 | | `identity/impossible-travel.kql` | T1078 | 标记来自地理上不可能的位置的登录 | | `identity/mfa-fatigue.kql` | T1621 | 检测重复的 MFA 推送尝试(疲劳攻击模式) | ### 端点 | 文件 | 技术 | 描述 | |---|---|---| | `endpoint/lolbas-execution.kql` | T1218 | 检测常见的 LOLBAS(Living off the Land Binary)滥用 | | `endpoint/powershell-encoded-commands.kql` | T1059.001 | 标记带有编码/混淆命令字符串的 PowerShell | | `endpoint/hta-file-execution.kql` | T1218.005 | 检测 mshta.exe 从可疑路径执行 HTA 文件 | | `endpoint/scheduled-task-creation.kql` | T1053.005 | 检测通过命令行创建计划任务 | ### 电子邮件 | 文件 | 技术 | 描述 | |---|---|---| | `email/phishing-url-click.kql` | T1566.002 | 点击了被标记为钓鱼邮件中的 URL 的用户 | | `email/attachment-malware-delivery.kql` | T1566.001 | 通过电子邮件投递已知的恶意附件类型 | ### 横向移动 | 文件 | 技术 | 描述 | |---|---|---| | `lateral-movement/pass-the-hash.kql` | T1550.002 | 通过 NTLM 登录类型 3 异常检测 Pass-the-Hash | | `lateral-movement/smb-lateral-movement.kql` | T1021.002 | 通过 SMB 向多个内部主机进行的横向移动 | ## 贡献 / 适配 这些查询仅作为起点。在生产环境中使用之前,请根据您的环境调整阈值和白名单。 *作者:Faizaan Sajjad | Orange Cyber Defense* *示例中的所有数据均为合成数据。*
标签:AMSI绕过, KQL, Microsoft Defender XDR, Microsoft Sentinel, 威胁检测, 安全运营, 扫描框架