f-bader/DefenderAndSentinelQueries

# Microsoft Sentinel 威胁搜寻查询与分析规则  最初，此存储库中的查询和分析规则与[Azure 攻击路径](https://cloudbrothers.info/en/azure-attack-paths/)博客文章相关。随着时间的推移，我也添加了与我的其他博客文章相关的新分析规则。 所有查询均可在[Microsoft Sentinel](https://docs.microsoft.com/en-us/azure/sentinel/overview)中直接使用。 ## 威胁搜寻查询 1. [Azure VM 运行命令或自定义脚本执行](./HuntingQueries/AzureVMRunCommandorCustomScriptExecution.yaml) 2. [Azure Lighthouse 委托变更](./HuntingQueries/ChangesToAzureLighthouseDelegation.yaml) 3. [授予高权限 Azure AD 角色给身份](./HuntingQueries/GrantHighPrivilegeAzureADRoleToIdentity.yaml) 4. [授予高权限 Microsoft Graph 权限](./HuntingQueries/GrantHighPrivilegeMicrosoftGraphPermissions.yaml) ## 分析规则 * [检测到 Azure VM 运行命令或自定义脚本执行](./AnalyticsRules/AzureVmRunCommandOrCustomScriptExecutionDetected.yaml) * [危险的 API 权限被同意](./AnalyticsRules/DangerousAPIPermissionConsented.yaml) * [高权限角色被分配](./AnalyticsRules/HighPrivilegedRoleAssigned.yaml) * [添加了新的 Lighthouse 服务提供商](./AnalyticsRules/NewLighthouseServiceProviderWasAdded.yaml) * [向高权限应用程序添加了所有者](./AnalyticsRules/OwnerAddedToHighPrivilegedApplication.yaml) * [高权限用户的密码被重置](./AnalyticsRules/PasswordResetOnHighPrivilegedUser.yaml) * [向高权限应用程序添加了密钥](./AnalyticsRules/SecretAddedToHighPrivilegedApplication.yaml) # 外部数据源 一些外部数据源需要额外修改，或者无法通过 `externaldata` 函数直接获取。在这种情况下，我会在此处添加它们。 | 来源 | 描述 | 修改内容 | 原因 | | ------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------ | ------------------------------------------------------ | | `https://mask-api.icloud.com/egress-ip-ranges.csv` | iCloud Private Relay 服务当前所有 IP 地址列表。
https://developer.apple.com/support/prepare-your-network-for-icloud-private-relay/ | 添加了区分 IPv4 和 IPv6 的列 | `externaldata` 无法从 Apple 服务器获取该 CSV | | `https://www.gstatic.com/g1vpn/geofeed` | Google One VPN 服务当前所有 IP 地址列表。
https://one.google.com/about/vpn/howitworks | 添加了区分 IPv4 和 IPv6 的列 | `externaldata` 无法从 Google 服务器获取该 CSV | | `https://learn.microsoft.com/en-us/windows-hardware/drivers/ifs/allocated-altitudes` | Microsoft 文件系统驱动程序已分配的过滤器高度 | 从 Markdown 转换为 CSV | | # 逻辑应用 在我的一些博客文章中，我会发布与 Microsoft Sentinel 相关的逻辑应用。那些 | 文件名 | 博客文章 | | ---------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [SyncDfCAlertsWithSentinelIncidents-SMI.arm.json](./SyncDfCAlertsWithSentinelIncidents-SMI.arm.json) | [将 Defender for Cloud 警报与 Sentinel 事件同步](https://cloudbrothers.info/en/sync-defender-cloud-alerts-sentinel-incidents/#system-managed-identity) | | [SyncDfCAlertsWithSentinelIncidents-UMI.arm.json](./SyncDfCAlertsWithSentinelIncidents-UMI.arm.json) | [将 Defender for Cloud 警报与 Sentinel 事件同步](https://cloudbrothers.info/en/sync-defender-cloud-alerts-sentinel-incidents/#user-managed-identity) | | [AutoCloseAppleiCloudPrivateRelayIncidents.arm.json](./AutoCloseAppleiCloudPrivateRelayIncidents.arm.json) | [涉及 Apple iCloud Private Relay 的匿名 IP 地址](https://cloudbrothers.info/en/anonymous-ip-address-involving-apple-icloud-private-relay/) | | [Template.arm.json](./Template.arm.json) | 空逻辑应用模板，包含 Sentinel 事件剧本所需的所有内容 |

标签：AMSI绕过, API安全, Azure AD, Azure安全, Homebrew安装, JSON输出, Microsoft Sentinel, 分析规则, 委托管理, 威胁检测, 安全情报, 微软图谱, 攻击路径, 权限管理, 模型越狱, 狩猎查询, 脚本执行检测, 身份安全