H1dd3n00b/KQL-Threat-Hunting-Analytics

# KQL-威胁狩猎 本仓库包含一系列专为主动威胁狩猎设计的Kusto查询语言（KQL）查询语句。这些查询依据MITRE ATT&CK框架构建，旨在有效检测和应对潜在威胁。 # 适用于Defender XDR、Microsoft Sentinel及其他Microsoft解决方案的KQL 本仓库旨在分享可供任何人使用且易于理解的KQL查询。这些查询旨在通过Microsoft安全产品的日志提升检测覆盖范围。并非所有可疑活动都会默认生成警报，但其中许多活动可通过日志实现可检测化。查询内容包括检测规则、狩猎查询及可视化方案。所有查询均可自由使用。 # KQL类别 为提升清晰度与组织性，本仓库内的查询按照MITRE ATT&CK框架进行分类。每个类别包含针对MITRE框架中特定战术定制的狩猎查询。 ## MITRE ATT&CK | MITRE企业战术 | 战术ID | |-----------------------------|------------------------------------------------------| | 侦察 | [TA0043](https://attack.mitre.org/tactics/TA0043/) | | 资源开发 | [TA0042](https://attack.mitre.org/tactics/TA0042/) | | [初始访问](./Initial%20Access/) | [TA0001](https://attack.mitre.org/tactics/TA0001/) | | [执行](./Execution/) | [TA0002](https://attack.mitre.org/tactics/TA0002/) | | 持久化 | [TA0003](https://attack.mitre.org/tactics/TA0003/) | | [权限提升](./Privilege%20Escalation/) | [TA0004](https://attack.mitre.org/tactics/TA0004/) | | [防御规避](./Defense%20Evasion/) | [TA0005](https://attack.mitre.org/tactics/TA0005/) | | [凭证访问](./Credential%20Access/) | [TA0006](https://attack.mitre.org/tactics/TA0006/) | | [发现](./Discovery/) | [TA0007](https://attack.mitre.org/tactics/TA0007/) | | [横向移动](./Lateral%20Movement/) | [TA0008](https://attack.mitre.org/tactics/TA0008/) | | [信息收集](./Collection/) | [TA0009](https://attack.mitre.org/tactics/TA0009/) | | 命令与控制 | [TA0011](https://attack.mitre.org/tactics/TA0011/) | | 数据渗出 | [TA0010](https://attack.mitre.org/tactics/TA0010/) | | [影响](./Impact/) | [TA0040](https://attack.mitre.org/tactics/TA0040/) |

标签：AMSI绕过, BurpSuite集成, Cloudflare, Kusto查询语言, Microsoft Defender XDR, Microsoft Sentinel, MITRE ATT&CK, 企业安全, 威胁情报, 威胁检测, 安全可视化, 安全运营, 开发者工具, 开源安全工具, 扫描框架, 检测规则, 网络安全, 网络资产发现, 网络资产管理, 逆向工程平台, 隐私保护