collinmsec/ExabeamQueries

``` ______ _ ____ _ | ____| | | / __ \ (_) | |__ __ ____ _| |__ ___ __ _ _ __ ___ | | | |_ _ ___ _ __ _ ___ ___ | __| \ \/ / _` | '_ \ / _ \/ _` | '_ ` _ \| | | | | | |/ _ \ '__| |/ _ \/ __| | |____ > < (_| | |_) | __/ (_| | | | | | | |__| | |_| | __/ | | | __/\__ \ |______/_/\_\__,_|_.__/ \___|\__,_|_| |_| |_|\___\_\\__,_|\___|_| |_|\___||___/ ``` # Exabeam 查询 一组用于威胁狩猎与检测的 Exabeam 查询集合 我鼓励大家为仓库贡献任何狩猎/检测规则，并非常乐意就某些查询进行合作！如果您有兴趣贡献查询，请提交 pull request。 *注意：发布的查询中使用的某些字段可能会因您的 Exabeam 实例中使用的解析方式不同而有所差异。请在您的环境/Exabeam 实例中测试这些查询。* ## 日志来源： 本仓库中的查询将查询以下日志来源的数据： | Log Source | | ----------- | | AWS Cloudtrail | | Microsoft 365 | | Windows | | Linux | | Okta | ## 贡献指南 请通过 pull requests 向 ExabeamQueries 仓库提交更改。 Pull requests 可以直接通过 Github 的 Web 界面提交，这是提交新查询或查询修改最简单的方式。 在目录中创建新文件或编辑现有文件时，您可以通过 Web 界面上的按钮提交更改。点击该按钮后，您将看到“Create a new branch for this commit and start a pull request”（为此次提交创建一个新分支并启动 pull request）的选项。这是我首选的开启 pull request 的方式。 Github pull request 指南链接：https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/creating-a-pull-request 包含查询的文件内的必填项： * 以下文本：NOTE: Some of the fields that are being used may be different in your environment depending on parsing. * 简短的文本说明，包含查询的名称/功能。这应与您正在创建/编辑的文件名相似。 * 查询本身。 * 文件底部的灵感/参考（如果有）。即使他人的规则是用不同的查询语言编写的，我们也希望将功劳归功于他们。 如果对此流程有任何疑问，我很乐意提供帮助和指导！

标签：AMSI绕过, AWS CloudTrail, BurpSuite集成, Detection Engineering, Exabeam, Linux审计, Microsoft 365, Okta, PE 加载器, Python 实现, SIEM查询, Windows日志, 威胁检测, 子域枚举, 安全运营, 异常检测, 扫描框架