MEH1999/sentinel-detections
GitHub: MEH1999/sentinel-detections
为 Microsoft Sentinel/Defender 提供 KQL 与 Sigma 格式的安全检测规则集合,映射 MITRE ATT&CK,帮助 SOC 团队快速部署常见攻击行为的告警逻辑。
Stars: 0 | Forks: 0
# sentinel-detections
一个小型的 Microsoft Sentinel / Defender **检测内容**库 —
KQL 分析规则和与平台无关的 Sigma 规则 — 每个都映射到
**MITRE ATT&CK**。
基于我作为 SOC 分析师日常调优的告警类型构建:身份
攻击、可疑执行和权限滥用。
## 检测
| 规则 | 平台 | ATT&CK | 严重性 | 数据源 |
|------|----------|--------|----------|-------------|
| [登录暴力破解](kql/bruteforce_signin.kql) | Sentinel (KQL) | T1110 | 高 | `SigninLogs` |
| [不可能的旅行](kql/impossible_travel.kql) | Sentinel (KQL) | T1078.004 | 中 | `SigninLogs` |
| [可疑的 PowerShell](kql/suspicious_powershell.kql) | Defender (KQL) | T1059.001 / T1027 | 高 | `DeviceProcessEvents` |
| [新增特权角色成员](kql/new_privileged_role.kql) | Sentinel (KQL) | T1098 | 高 | `AuditLogs` |
| [编码的 PowerShell](sigma/win_susp_encoded_powershell.yml) | Sigma | T1059.001 / T1027 | 高 | process_creation |
| [批量卷影副本删除](sigma/win_mass_file_deletion.yml) | Sigma | T1490 | 严重 | process_creation |
## ATT&CK 覆盖范围
| 战术 | 涵盖技术 |
|--------|-------------------|
| Initial Access / Credential Access | T1110 Brute Force |
| Defense Evasion | T1027 Obfuscation |
| Execution | T1059.001 PowerShell |
| Persistence / Priv-Esc | T1098 Account Manipulation, T1078 Valid Accounts |
| Impact | T1490 Inhibit System Recovery |
## 使用内容
**KQL** — 粘贴到 Sentinel 的 *Logs* 中,或封装为 Analytics Rule(Scheduled query)。
每个文件的头部注释说明了数据源和可调阈值。
**Sigma** — 使用
[`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) 转换为你的 SIEM 查询语言:
```
pip install sigma-cli
sigma convert -t kusto sigma/win_susp_encoded_powershell.yml # -> Sentinel KQL
```
## 注意事项
- 阈值仅为起点 — 在将规则转化为寻呼告警之前,请根据你自身的环境进行基线校准。
- 相比于原始覆盖率,规则更倾向于可读性和低误报设计(窗口、对成功事件的 join、allow-list hooks)。
## 展示技能
- KQL:`summarize`、`join`、`serialize`/`prev()`、`bin()`、对 `AuditLogs` / `SigninLogs` 的动态解析
- 检测工程与 MITRE ATT&CK 映射
- Sigma 规则编写和与 SIEM 无关的转换
标签:DNS 反向解析, KQL, Microsoft Defender, Microsoft Sentinel, OpenCanary, Reconnaissance, SOC分析, 安全运营, 扫描框架, 检测规则, 管理员页面发现, 网络资产发现