m4nbat/KustQueryLanguage_kql

# KustQueryLanguage_kql 用于 Azure Sentinel 和 Defender 高级搜寻的网络安全防御相关 Kusto 查询 **使用风险自负。部分查询已在实验室环境中经过测试和验证。其他查询源于对威胁报告的研究或研究人员与社区的分享。** # MITRE ATT&CK 映射 ## 初始访问 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 执行 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | Turla Snake malware hunt queries | 潜在 SNAKE Malware 安装 CLI 参数指标 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Turla Snake malware hunt queries | SNAKE Malware 安装程序名称指标 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Turla Snake malware hunt queries | 潜在 SNAKE Malware 安装二进制文件指标 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Batloader Execution Procedures | 通过 Powershell 执行可疑 BatLoader Malware（通过 cmdline） | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/MDE_Execution_BatloaderTTPs.md | | | Batloader Execution Procedures | 通过 Powershell 执行可疑 BatLoader Malware（通过 cmdline） | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/MDE_Execution_BatloaderTTPs.md | | | Batloader Execution Procedures | 通过 Gpg4Win 工具可能执行 Batloader Malware（通过进程创建） | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/MDE_Execution_BatloaderTTPs.md | | ## 持久化 | 名称 | 描述 | 链接 | 标签 | |--|--|--|--| | Turla Snake malware hunt queries | SNAKE Malware 服务持久化 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Turla Snake malware hunt queries | SNAKE Malware WerFault 持久化文件创建 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Turla Snake malware hunt queries | SNAKE Malware 隐蔽存储注册表键 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | Turla Snake malware hunt queries | SNAKE Malware 服务持久化 | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/APT_turla_snake_hunt.md | | | | | | | | | | | | | | | | | ## 权限提升 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 防御规避 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 凭证访问 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 发现 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 横向移动 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 收集 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 命令与控制 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 数据渗出 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 影响 | 技术 | 描述 | 链接 | 标签 | |--|--|--|--| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | # 其他映射 ## CVE | 名称 | 描述 | 链接 | 标签 | |--|--|--|--| | CVE-2023-23397 | | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/CVE-2023-23397_kusto_queries.md | | | CVE-2023-21554 | | https://github.com/m4nbat/KustQueryLanguage_kql/blob/main/CVE-2023-21554-Queuejump.md | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## APT | 名称 | 描述 | 链接 | 标签 | |--|--|--|--| | 3CX DLL Side Loading | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ## 未分类 | 名称 | 描述 | 链接 | 标签 | |--|--|--|--| | 3CX DLL Side Loading | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |

标签：APT检测, ATT&CK映射, Azure Sentinel, Batloader, DAST, EDR, KQL, Kusto查询语言, MDE, Microsoft Defender, PB级数据处理, Turla Snake, 云端安全, 威胁情报, 安全运维, 开发者工具, 恶意软件分析, 漏洞靶场, 网络信息收集, 网络安全, 脆弱性评估, 速率限制处理, 防御检测, 隐私保护, 高级搜寻