egrzeszczak/kql

# kql 一组我的 KQL 查询 ## **检测规则（Microsoft Defender XDR）** |名称|描述|MITRE ATT&CK| |-|-|-| |[Adobe Reader 创建子进程](./detection-rules/Adobe-Reader-created-a-child-process/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则，用于检测尝试由 Adobe Reader 创建子进程的行为。
[文档 →](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-adobe-reader-from-creating-child-processes)|T1204.002: 恶意文件| |[Base 编码的 PowerShell 命令](./detection-rules/Base-encoded-PowerShell-command/query.kql)|检测使用编码参数运行的 PowerShell 进程，这通常用作规避技术。|T1027: 混淆文件或信息
T1027.010: 命令混淆
T1059: 命令和脚本解释器
T1059.001: PowerShell
T1086: PowerShell| |[向外部域转发电子邮件（经典版）](./detection-rules/Email-forwarding-to-external-domain-\(Classic\)/query.kql)|检测在 Outlook 经典版中创建了将 ForwardTo、ForwardAsAttachmentTo 或 RedirectTo 设置为外部不可信域的邮箱规则。您可以在查询中指定可信域。|T1114: 电子邮件收集
T1114.003: 电子邮件转发规则| |[向外部域转发电子邮件](./detection-rules/Email-forwarding-to-external-domain/query.kql)|检测在 Outlook 或 Outlook Web Access 中创建了将 ForwardTo、ForwardAsAttachmentTo 或 RedirectTo 设置为外部不可信域的邮箱规则。您可以在查询中指定可信域。|T1114: 电子邮件收集
T1114.003: 电子邮件转发规则| |[通过转发发送到外部域的电子邮件](./detection-rules/Email-sent-via-forwarding-to-external-domain/query.kql)|检测已转发到外部域的电子邮件消息。您可以在查询中指定可信域。|T1114: 电子邮件收集
T1114.003: 电子邮件转发规则| |[ASR 检测到的可执行电子邮件内容](./detection-rules/Executable-email-content-detected-by-ASR/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则。该规则检测在 Microsoft Outlook 应用程序或 Outlook.com 及其他流行网络邮件服务中打开的可执行文件类型电子邮件。
[文档 →](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-content-from-email-client-and-webmail)|T1204: 用户执行
T1204.002: 恶意文件| |[ASR 检测到的混淆脚本](./detection-rules/Obfuscated-script-detected-by-ASR/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则。脚本混淆是恶意软件作者和合法应用程序都常用的一种技术，用于隐藏知识产权或减少脚本加载时间。
[文档 →](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-execution-of-potentially-obfuscated-scripts)|T1027: 混淆文件或信息
T1027.010: 命令混淆| |[ASR 检测到的勒索软件](./detection-rules/Ransomware-detected-by-ASR/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则。当客户端和/或云端启发式判断文件类似勒索软件时触发。|T1486: 数据加密以影响| |[ASR 检测到的脚本下载可执行文件](./detection-rules/Script-downloaded-an-executable-detected-by-ASR/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则。规则检测脚本启动潜在的恶意下载内容。
[文档 →](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-javascript-or-vbscript-from-launching-downloaded-executable-content)|T1059: 命令和脚本解释器
T1059.005: Visual Basic
T1059.007: JavaScript| |[条件访问策略阻止的登录](./detection-rules/Sign-in-blocked-by-Conditional-Access-policy/query.kql)|检测到指定规则 ID 的条件访问操作失败。您需要在查询中设置 RuleID。|T1556.009: 条件访问策略| |[Defender 阻止的可信域](./detection-rules/Trusted-domain-blocked-by-Defender/query.kql)|检查对可信域的网络过滤阻止。您可以在查询中指定可信域。|T1071: 应用层协议
T1071.001: Web 协议| |[Office 宏调用的 Win32 API](./detection-rules/Win32-API-called-by-an-Office-macro/query.kql)|Microsoft Defender for Endpoint 的攻击表面减少规则，用于检测尝试调用 Win32 API 的 VBA 宏。
[文档 →](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-win32-api-calls-from-office-macros)|T1106: 原生 API| |[PowerShell 中的 XOR 运算符](./detection-rules/XOR-operator-in-PowerShell-command/query.kql)|检测包含 XOR 运算符的 PowerShell 进程，这可能表示规避活动。|T1027: 混淆文件或信息
T1027.010: 命令混淆
T1059: 命令和脚本解释器
T1059.001: PowerShell
T1086: PowerShell| ## 资源 高级狩猎中使用的其他资源 |名称|描述| |-|-| |[Microsoft Entra 分类错误代码及其描述](./resources/Entra-Error-Codes/query.kql)（开发中）|Microsoft Entra 错误代码及其描述和分类|

标签：Adobe Reader 子进程, Cloudflare, DNS 反向解析, KQL, Kusto 查询语言, Microsoft Defender XDR, MITRE ATT&CK, OpenCanary, PowerShell 编码命令, URL发现, 协议分析, 安全检测, 攻击面减少, 日志查询, 权限提升, 检测规则, 电子邮件转发, 私有化部署, 网络资产发现, 速率限制, 防御规避