faizaanmir/kql-query-pack
GitHub: faizaanmir/kql-query-pack
一套按 MITRE ATT&CK 战术分类的 KQL 威胁检测查询集合,专为 Microsoft Sentinel 和 Defender XDR 环境设计,帮助安全团队快速部署威胁狩猎与事件调查规则。
Stars: 0 | Forks: 0
# KQL 查询包 — Microsoft Sentinel 与 Defender XDR
精心整理的 KQL(Kusto Query Language)查询集合,用于威胁检测、威胁狩猎和事件调查。按 MITRE ATT&CK 战术进行组织。
所有查询均已针对 Microsoft Sentinel 和/或 Microsoft Defender XDR Advanced Hunting 架构进行测试。数据已脱敏 — 不包含生产环境或客户数据。
## 结构
```
kql-query-pack/
├── identity/ # TA0006 - Credential Access, TA0005 - Defense Evasion
├── endpoint/ # TA0002 - Execution, TA0003 - Persistence, TA0004 - Privilege Escalation
├── email/ # TA0001 - Initial Access (Phishing)
├── lateral-movement/ # TA0008 - Lateral Movement
├── persistence/ # TA0003 - Persistence
└── exfiltration/ # TA0010 - Exfiltration
```
## 架构参考
| 查询文件夹 | 主表 (Sentinel) | 主表 (Defender XDR) |
|---|---|---|
| identity | SigninLogs, AADNonInteractiveUserSignInLogs | IdentityLogonEvents |
| endpoint | SecurityEvent, Sysmon | DeviceProcessEvents, DeviceFileEvents |
| email | EmailEvents (Defender for O365) | EmailEvents |
| lateral-movement | SecurityEvent | DeviceLogonEvents, IdentityLogonEvents |
| persistence | SecurityEvent, AuditLogs | DeviceRegistryEvents, DeviceScheduledTaskEvents |
| exfiltration | DnsEvents, CommonSecurityLog | DeviceNetworkEvents |
## 用法
每个 `.kql` 文件包含:
- **描述** — 查询检测的内容及其重要性
- **MITRE ATT&CK 映射** — 战术与技术 ID
- **数据源** — 所使用的表
- **查询** — KQL 语句
- **调优说明** — 误报指导与阈值建议
## 查询索引
### 身份
| 文件 | 技术 | 描述 |
|---|---|---|
| `identity/ntlm-brute-force.kql` | T1110.002 | 检测来自单一来源的 NTLM 密码喷射 |
| `identity/dcsync-detection.kql` | T1003.006 | 检测来自非 DC 主机的 DCSync 复制请求 |
| `identity/impossible-travel.kql` | T1078 | 标记来自地理上不可能的位置的登录 |
| `identity/mfa-fatigue.kql` | T1621 | 检测重复的 MFA 推送尝试(疲劳攻击模式) |
### 端点
| 文件 | 技术 | 描述 |
|---|---|---|
| `endpoint/lolbas-execution.kql` | T1218 | 检测常见的 LOLBAS(Living off the Land Binary)滥用 |
| `endpoint/powershell-encoded-commands.kql` | T1059.001 | 标记带有编码/混淆命令字符串的 PowerShell |
| `endpoint/hta-file-execution.kql` | T1218.005 | 检测 mshta.exe 从可疑路径执行 HTA 文件 |
| `endpoint/scheduled-task-creation.kql` | T1053.005 | 检测通过命令行创建计划任务 |
### 电子邮件
| 文件 | 技术 | 描述 |
|---|---|---|
| `email/phishing-url-click.kql` | T1566.002 | 点击了被标记为钓鱼邮件中的 URL 的用户 |
| `email/attachment-malware-delivery.kql` | T1566.001 | 通过电子邮件投递已知的恶意附件类型 |
### 横向移动
| 文件 | 技术 | 描述 |
|---|---|---|
| `lateral-movement/pass-the-hash.kql` | T1550.002 | 通过 NTLM 登录类型 3 异常检测 Pass-the-Hash |
| `lateral-movement/smb-lateral-movement.kql` | T1021.002 | 通过 SMB 向多个内部主机进行的横向移动 |
## 贡献 / 适配
这些查询仅作为起点。在生产环境中使用之前,请根据您的环境调整阈值和白名单。
*作者:Faizaan Sajjad | Orange Cyber Defense*
*示例中的所有数据均为合成数据。*
标签:AMSI绕过, KQL, Microsoft Defender XDR, Microsoft Sentinel, 威胁检测, 安全运营, 扫描框架