MEH1999/sentinel-detections

GitHub: MEH1999/sentinel-detections

为 Microsoft Sentinel/Defender 提供 KQL 与 Sigma 格式的安全检测规则集合,映射 MITRE ATT&CK,帮助 SOC 团队快速部署常见攻击行为的告警逻辑。

Stars: 0 | Forks: 0

# sentinel-detections 一个小型的 Microsoft Sentinel / Defender **检测内容**库 — KQL 分析规则和与平台无关的 Sigma 规则 — 每个都映射到 **MITRE ATT&CK**。 基于我作为 SOC 分析师日常调优的告警类型构建:身份 攻击、可疑执行和权限滥用。 ## 检测 | 规则 | 平台 | ATT&CK | 严重性 | 数据源 | |------|----------|--------|----------|-------------| | [登录暴力破解](kql/bruteforce_signin.kql) | Sentinel (KQL) | T1110 | 高 | `SigninLogs` | | [不可能的旅行](kql/impossible_travel.kql) | Sentinel (KQL) | T1078.004 | 中 | `SigninLogs` | | [可疑的 PowerShell](kql/suspicious_powershell.kql) | Defender (KQL) | T1059.001 / T1027 | 高 | `DeviceProcessEvents` | | [新增特权角色成员](kql/new_privileged_role.kql) | Sentinel (KQL) | T1098 | 高 | `AuditLogs` | | [编码的 PowerShell](sigma/win_susp_encoded_powershell.yml) | Sigma | T1059.001 / T1027 | 高 | process_creation | | [批量卷影副本删除](sigma/win_mass_file_deletion.yml) | Sigma | T1490 | 严重 | process_creation | ## ATT&CK 覆盖范围 | 战术 | 涵盖技术 | |--------|-------------------| | Initial Access / Credential Access | T1110 Brute Force | | Defense Evasion | T1027 Obfuscation | | Execution | T1059.001 PowerShell | | Persistence / Priv-Esc | T1098 Account Manipulation, T1078 Valid Accounts | | Impact | T1490 Inhibit System Recovery | ## 使用内容 **KQL** — 粘贴到 Sentinel 的 *Logs* 中,或封装为 Analytics Rule(Scheduled query)。 每个文件的头部注释说明了数据源和可调阈值。 **Sigma** — 使用 [`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) 转换为你的 SIEM 查询语言: ``` pip install sigma-cli sigma convert -t kusto sigma/win_susp_encoded_powershell.yml # -> Sentinel KQL ``` ## 注意事项 - 阈值仅为起点 — 在将规则转化为寻呼告警之前,请根据你自身的环境进行基线校准。 - 相比于原始覆盖率,规则更倾向于可读性和低误报设计(窗口、对成功事件的 join、allow-list hooks)。 ## 展示技能 - KQL:`summarize`、`join`、`serialize`/`prev()`、`bin()`、对 `AuditLogs` / `SigninLogs` 的动态解析 - 检测工程与 MITRE ATT&CK 映射 - Sigma 规则编写和与 SIEM 无关的转换
标签:DNS 反向解析, KQL, Microsoft Defender, Microsoft Sentinel, OpenCanary, Reconnaissance, SOC分析, 安全运营, 扫描框架, 检测规则, 管理员页面发现, 网络资产发现