alexverboon/Hunting-Queries-Detection-Rules

# KQL Sentinel 与 Defender 查询 # 适用于 Defender XDR、Microsoft Sentinel 及其他 Microsoft 解决方案的 KQL 本仓库旨在分享任何人都可以使用且易于理解的 KQL 查询。这些查询旨在通过 Microsoft 安全产品的日志提高检测覆盖率。并非所有可疑活动默认都会生成警报，但其中许多活动可以通过日志进行检测。这些查询包括检测规则、搜寻查询和可视化图表。任何人都可以自由使用这些查询。如有任何问题，欢迎在 Twitter [@AlexVerboon](https://twitter.com/alexverboon) 上联系我。 **将此材料据为己有是非法且被禁止的。在分享或使用本内容时，请注明引用 Twitter [@AlexVerboon](https://twitter.com/alexverboon) 或 Github [AlexVerboon](https://github.com/alexverboon/Hunting-Queries-Detection-Rules) ，我们将不胜感激。** # KQL 类别 本仓库中的查询分为不同的类别。MITRE ATT&CK 类别包含映射到 MITRE 框架战术的查询列表。产品部分包含特定于 Microsoft 安全产品的查询。 ## MITRE ATT&CK - [MITRE ATT&CK 映射](./MITRE%20ATT%26CK/) ## 产品与日志源 - [Defender XDR 规则](./Defender%20365/) - [Defender For Endpoint 检测规则](./Defender%20For%20Endpoint/) - [Defender For Identity 检测规则](./Defender%20For%20Identity) - [Defender For Cloud Apps 检测规则](./Defender%20For%20Cloud%20Apps) - [应用治理 (App Governance)](./AppGovernance/) - [Defender For Office 365](./Defender%20For%20Office%20365/) - [Defender for IoT](./Defender4IoT/) - [Azure Active Directory](./Azure%20Active%20Directory) - [Active Directory](./ActiveDirectory/) - [Microsoft Sentinel](./Sentinel) - [Defender 外部攻击面管理](./Defender%20External%20Attack%20Surface%20Management/) - [Microsoft 安全暴露管理](./ExposureManagement/) - [Azure 资源图](./AzureResourceGraph/)

标签：AMSI绕过, Azure AD, BurpSuite集成, Cloudflare, Defender for Endpoint, Defender for Identity, Defender for Office 365, DNS 反向解析, Entra ID, KQL, Kusto 查询语言, Microsoft Defender, Microsoft Sentinel, MITRE ATT&CK, Mutation, PE 加载器, Web报告查看器, 可视化, 威胁检测, 子域名变形, 安全运营, 扫描框架, 插件系统, 检测规则, 模拟器, 网络安全, 网络安全审计, 网络资产发现, 速率限制, 隐私保护