calvin-quint/kql-detection-rules
GitHub: calvin-quint/kql-detection-rules
一套按类别组织的 Microsoft Sentinel KQL 安全检测规则库,涵盖身份、数据泄露、端点等 11 个领域的威胁检测场景。
Stars: 0 | Forks: 0
Microsoft Sentinel KQL 检测规则,按类别组织。共 47 条规则,涵盖 11 个类别 —— 请查看每个文件夹各自的 README 以获取完整的文件列表以及每条规则的作用。
| 文件夹 | 涵盖范围 |
|---|---|
| [`1password/`](1password/) | 1Password 管理员/紧急账户监控 |
| [`admin-by-request/`](admin-by-request/) | Admin By Request 终端权限提升 |
| [`aitm-and-token-theft/`](aitm-and-token-theft/) | AiTM 钓鱼、设备代码钓鱼、token 窃取/重放 — 包括与 IR-2026-001 报告相关的关联规则 |
| [`azure-infrastructure/`](azure-infrastructure/) | Azure 资源变更监控(VM/VNet 创建) |
| [`data-exfiltration/`](data-exfiltration/) | DLP、邮件转发/重定向、个人云存储、USB、Teams 文件访问 |
| [`endpoint/`](endpoint/) | 防病毒检测、PUP/广告软件浏览器、权限提升 |
| [`governance/`](governance/) | SharePoint/M365 组删除 |
| [`identity/`](identity/) | 登录异常、MFA/无密码验证失败、条件访问、威胁情报丰富化 |
| [`identity-governance/`](identity-governance/) | OAuth 同意/应用注册滥用 |
| [`teams/`](teams/) | 非用户操作者、未经授权的参与者、AI 转录机器人 |
| [`ueba/`](ueba/) | Sentinel UEBA 专用检测(Anomalies/BehaviorAnalytics 表) |
## 版本历史
有少数规则经历了多次迭代逐渐成熟。每条规则的当前/生产版本都位于其文件夹的顶层,并使用简洁的、无版本号的名称;早期的迭代版本被归档在该文件夹的 `versions/` 子文件夹下,以便保持工程演进的可见性(上述 47 条总数中未包含这些归档的迭代版本):
- `data-exfiltration/personal_cloud_storage_exfiltration.kql` — [v1-v5](data-exfiltration/versions/personal-cloud-storage-exfiltration/)
- `aitm-and-token-theft/Token Theft and Replay Detection.kql` — [v1-v3](aitm-and-token-theft/versions/token-theft-and-replay-detection/)
- `aitm-and-token-theft/AiTM Token Replay Detection.kql` — [早期版本](aitm-and-token-theft/versions/aitm-token-replay-detection/)
## 搜寻/查询模板
有少量文件是参数化模板(在返回任何结果之前需要填入 `$value`),而不是独立的自动触发检测 —— 这已在其文件夹的 README 中注明:
- `data-exfiltration/email_attachment_hash_lookup.kql`
- `data-exfiltration/user_email_attachments_lookup.kql`
- `data-exfiltration/inbox_rule_changes_by_user_lookup.kql`
- `identity-governance/app_added_audit_lookup.kql`
标签:AMSI绕过, CSV导出, KQL, Microsoft Sentinel, 威胁检测, 安全运营, 扫描框架, 身份安全