Peronchichino/KQL_Queries_AdvancedHunting
GitHub: Peronchichino/KQL_Queries_AdvancedHunting
一组面向 Microsoft Sentinel 和 Defender 的高级狩猎 KQL 查询集,帮助企业安全团队快速建立覆盖身份、设备和网络流量的组织级威胁检测与持续监控能力。
Stars: 1 | Forks: 0
# KQL_Queries_AdvancedHunting
主题:
- 国家/地区登录
- 异常 Token 创建等
- 各种登录(高风险、失败、不存在等)
- 密码重置
- MFA
- 设备特定事件
- spoolsv.exe
- 管理员组中的新用户 -> PIM
- 恶意 HTTP 流量 -> HTTP 流量
- 钓鱼文件扩展名
待添加:
- Azure 作业创建
- 异常 AAD 账户创建
标签:Advanced Hunting, AMSI绕过, Azure AD, CSV导出, IP 地址批量处理, KQL, MFA, Microsoft Defender, Microsoft Sentinel, PIM, spoolsv.exe, 多因素认证, 威胁检测, 安全运营, 密码重置, 异常登录, 恶意HTTP流量, 扫描框架, 特权身份管理, 组织监控, 网络安全, 设备安全, 钓鱼文件, 隐私保护, 高级狩猎