pporkka/DefenderXDRQueries

# DefenderXDRQueries 用于 Microsoft DefenderXDR 威胁狩猎的通用 KQL 查询仓库 ## IOC 查询 使用外部源进行查询。 ## Notepad-plus-plus 安装程序检测 Sentinel 查询，涵盖 2025 年 6 月及之后的时间范围。 用于检测已知的外部列表中 8.9.1 之前版本的 npp 安装程序哈希的查询。 ### Rösti IOCs Feed KQL Rosti-IOCs-feed.kql - 使用 查找有趣的事件。请注意，这可能会产生大量结果。您可能希望将源更改为 中找到的其他限制更多的类型之一（查看页面底部以获取 Defender for Endpoint iocs）。 ### KQL_SuspiciousChromeExtensions.kql 用于获取列表（我的列表，也存在其他列表，在这种情况下您可以以此为例）并根据已知恶意（或可疑）的 Chrome 扩展程序验证您的环境端点的查询。请参阅 ## 漏洞数据 从 Defender XDR 数据查询设备中现有漏洞（未修补）的查询 ### EPSS-enriched-XDR-device-vulnerability-data.kql 这利用漏洞利用预测评分系统 (EPSS) 来丰富在设备中发现的漏洞数据（来自 Defender for Endpoint）。 其目的是找到可能被利用或（如果 EPSS 足够高）已经被利用的漏洞。

标签：Chrome 扩展, Defender for Endpoint, EDR, EPSS, Go语言工具, GPT, IOC 检测, KQL, Kusto 查询语言, Microsoft Defender XDR, Microsoft Sentinel, Notepad++, 威胁情报, 开发者工具, 搜索语句（dork）, 数据 enrichment, 浏览器扩展安全, 漏洞管理, 网络安全, 脆弱性评估, 隐私保护