SecurityAura/DE-TH-Aura

# SecurityAura 的检测工程与威胁狩猎 (DE&TH) ## #100DaysOfKQL 挑战 从 2025/01/01 到 2025/04/12，我为我的 #100DaysOfKQL 挑战添加了一个新文件夹。来自该挑战的查询将被添加到那里，在挑战结束后的某个时间点，我会将它们移动到仓库中相应的部分。我还没有完全构思好架构。 有关我的 #100DaysOfKQL 挑战的更多信息，请参阅以下 Twitter 主题： https://x.com/SecurityAura/status/1874454346324410878 ## 简介 这是一个 GitHub 仓库，我将发布任何我想分享的关于使用 KQL 创建检测、进行威胁狩猎甚至执行调查的内容。本仓库中共享的查询主要针对 Microsoft Defender XDR 产品套件和/或通过 Microsoft Sentinel 引入的日志（例如：Windows Security Event Logs）。 我提出的查询基于不同的信息来源（甚至是灵感）。这些来源可以是： - 我在日常工作中遇到的内容 - Tweets - 博客文章 - 研究文章 - 随机的想法/点子 在某个时候，我想使用 Sigma 添加一些伪代码，但目前仅包含 KQL。 有些查询可能非常基础，而有些可能很高级。设计检测、威胁狩猎查询等事情的特点在于，通常不止一种方法可以实现和/或得出相同的结果。因此，我发布的某些查询可能会被其他人以完全不同的方式编写。有些甚至可以改进，因为总有机会在良好的基础之上进行构建。这也是我完全期望做的事情，即：回到我过去发布的查询中，无论出于何种原因对它们进行改进： - 也许我遇到了一个我们需要考虑的现实世界边缘情况 - 也许我学到了一个可以利用的新 KQL 函数 - 也许我找到了一种优化查询的方法 - 或者其他原因！ 因此，请预期我在此处发布的查询会随时间发生变化，因为无法保证它们的初始版本就是“最终”版本。为了协助这一点，在某个时候，我会在每个页面上添加一个“查询最后修改时间”部分（有点像其他人在其 KQL 仓库中所做的那样）。 一如既往，如果您对这个仓库和/或查询有任何疑问或其他，请随时在上面列出的社交媒体上给我发私信！ ## KQL 编写风格 关于我个人如何编写 KQL 查询，有三件事您应该知道。首先，我倾向于自上而下地编写 KQL，这意味着我通常会编写一个使用更多行的查询，但您可以轻松地从较小的显示框中阅读。例如 Microsoft Sentinel Analytic Rule 的右窗格。 其次，我很少会在查询中添加 project、project-order、project-rename、distinct 等，用于清理结果、强调“重要内容”等。我觉得选择要查看哪些列、顺序以及要突出显示哪些列是每个人的个人选择。您是唯一知道您希望结果如何显示或聚类的人，因此我将此留给您决定。例如，对于 MDE 的 DeviceProcessEvents，我可能对 project-reorder 有偏好，但这并不意味着您会与我由相同的偏好，我不想限制您使用它。对于某些相关的查询，我可能仍会使用它，但在大多数情况下，我将把它留给您——即阅读、执行和分析查询的人——来添加这些内容。 第三，我**滥用** let 语句（KQL 变量）来定义任何我认为将来可以扩展的内容（例如：包含与发现活动相关的进程的变量）。甚至是那些应该调整的变量（例如：基于阈值的查询）和/或其值可能根据您要执行它们的上下文而变化的变量。它还有一个副作用，即充当查询将使用的“参数”的快速概览，这可能使得在甚至进入底层的 KQL 之前更容易理解。 ## 致谢 用于创建此仓库中各种页面的模板来自 Bert-JanP 的 Hunting-Queries-Detection-Rules 仓库！请务必给它一个 Star 并关注它！ https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules/blob/main/DetectionTemplate.md

标签：100DaysOfKQL, AMSI绕过, Detection-as-Code, EDR, KQL, Kusto 查询语言, Microsoft Defender XDR, Microsoft Sentinel, RFI远程文件包含, Sigma 规则, Windows 安全, 域名分析, 威胁检测, 安全脚本, 安全调查, 安全运营, 扫描框架, 查询优化, 管理员页面发现, 脆弱性评估, 速率限制