CodeByHarri/Incident-Response-and-Threat-Hunting

# KQL 威胁狩猎与事件响应 欢迎使用 KQL (Kusto Query Language) 狩猎与事件响应仓库。该仓库包含了一系列旨在检测、狩猎和响应各种安全事件的查询。这些查询被组织成不同的类别，以便于导航和使用。 ## 目录 1. [检测](#detections) 2. [数字取证](#digital-forensics) 3. [按实体狩猎](#hunting-by-entity) - [设备](#device) - [电子邮件](#email) - [用户](#user) 4. [运营](#operations) ## 检测 该目录包含旨在检测各种可疑和恶意活动的 KQL 查询。这些检测涵盖了广泛的攻击技术，包括命令执行、文件活动、注册表更改以及网络通信等。 ## 脚本 该目录包含用于执行全面数字取证的脚本和输出文件。这些工具有助于分析浏览器活动和操作系统 artifacts，以揭示潜在的安全事件。 ## 按实体狩猎 本节按不同的实体进行组织，提供了用于搜寻与每个实体相关的特定活动的查询。 ### 设备 本节中的查询侧重于监控和分析特定于设备的活动，包括登录、文件下载、网络通信和 USB 事件。 ### 电子邮件 本节包含用于监控和检测可疑电子邮件活动的查询，例如非标准字符的存在、与外部域的交互、转发规则和电子邮件数据渗出尝试。 ### 用户 本节中针对用户的查询有助于监控 Azure Active Directory 风险事件、组成员身份更改、密码活动、登录尝试和用户 Web 搜索历史记录。 ## 运营 Operations 目录包含与运营任务相关的查询，例如识别相似事件和调整 analytics，以改进检测和响应能力。

标签：AI合规, AMSI绕过, Azure Sentinel, EDR, KQL, Kusto Query Language, Libemu, Microsoft Defender, 代码示例, 域环境安全, 威胁检测, 安全脚本, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 数据分析, 用户行为分析, 网络安全, 脆弱性评估, 自动化脚本, 规则调优, 设备监控, 速率限制, 邮件安全, 隐私保护, 风险管控