benscha/KQLAdvancedHunting

本仓库包含一系列精选的 **KQL (Kusto Query Language) 查询**，适用于 **Microsoft Defender Advanced Hunting** 和 Sentinel，旨在帮助安全分析师和 IT 管理员改进威胁检测和事件响应能力。 ## 🔍 **包含内容？** - 适用于 Microsoft 365 Defender 的实用 **Advanced Hunting 查询** - 针对 **Endpoint**、**Identity** 和 **Cloud** 的安全监控脚本 - 聚焦于 Incident Response 的 KQL 示例 - 针对 **DeviceProcessEvents**、**EmailEvents** 和 **AlertEvidence** 等表的优化过滤器 ## ✅ **为什么选择这个仓库？** - 用于主动威胁搜寻的真实 **KQL 示例** - 易于针对您自身的安全场景进行定制 - 用于提升可见性的关键词： `KQL`, `Microsoft Defender`, `Advanced Hunting`, `Security Queries`, `Threat Detection` ## 🔗 与我联系 在 LinkedIn 上关注我：https://www.linkedin.com/in/benjamin-zulliger/?follow 由 Benjamin Zulliger 维护

标签：AMSI绕过, EDR, KQL, Kusto查询语言, Libemu, Libemu, M365 Defender, Microsoft Defender, Microsoft Sentinel, 威胁检测, 安全运营, 扫描框架, 数据查询, 端点安全, 网络安全, 脆弱性评估, 脚本, 补丁管理, 隐私保护, 高级狩猎