haidon603/kql_azure_data_explore

GitHub: haidon603/kql_azure_data_explore

一套面向 Azure Data Explorer 的安全调查 KQL 查询模板，涵盖多源日志关联、跨库 IoC 搜索和密码喷洒检测等核心场景。

Stars: 0 | Forks: 0

用于协助在 Azure Data Explorer 中进行安全调查的 KQL 查询。建议将这些查询添加到仪表板，以便您能够持续监控和搜寻威胁。以下是一些仪表板示例。将 EDR DNS 事件与 Proxy 事件进行关联，以确定请求是否被允许。 ![Alt text](https://github.com/haidon603/kql_azure_data_explore/blob/main/kql_join.png) 在集群的所有数据库中搜索 IoC。 ![Alt text](https://github.com/haidon603/kql_azure_data_explore/blob/main/IoC_Landing_Page.png) ![Alt text](https://github.com/haidon603/kql_azure_data_explore/blob/main/IoC_Sample_Search.png) 针对潜在密码喷洒攻击的 User Agent 分析。注意到 Go user agent 有什么异常了吗？ ![Alt text](https://github.com/haidon603/kql_azure_data_explore/blob/main/ADX_dashboard_User_Agent_Analysis_for_Password_Spraying_2.png) ![Alt text](https://github.com/haidon603/kql_azure_data_explore/blob/main/ADX_dashboard_User_Agent_Analysis_for_Password_Spraying_1.png)

标签：ADX, AMSI绕过, Azure Data Explorer, DNS 分析, EDR, IoC 搜索, KQL, Kusto 查询语言, User Agent 分析, 代理日志, 入侵指标, 威胁检测, 安全仪表板, 安全调查, 安全运营, 密码喷洒, 扫描框架, 日志关联, 网络安全, 脆弱性评估, 隐私保护