KQL-threat-hunting-queries完全指南从入门到精通的威胁狩猎实战手册【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queriesKQL-threat-hunting-queries是一个专注于Microsoft Sentinel和Microsoft XDR前身为Microsoft 365 Defender威胁狩猎与检测的KQL查询仓库为安全分析师和威胁猎人提供了丰富的即用型检测和狩猎查询资源帮助他们充分利用KQL的强大功能。为什么选择KQL-threat-hunting-queries进行威胁狩猎在当今复杂的网络安全环境中有效的威胁狩猎对于及时发现和应对潜在威胁至关重要。KQLKusto Query Language作为一种强大的查询语言在Microsoft的安全产品生态中扮演着关键角色。KQL-threat-hunting-queries项目汇集了众多实用的KQL查询让威胁狩猎工作变得更加高效和精准。该项目的优势在于丰富的查询资源涵盖了各种威胁场景和攻击技术的查询满足不同的狩猎需求。持续更新随着威胁形势的变化不断有新的查询添加和现有查询的优化。MITRE ATTCK映射多数查询都与MITRE ATTCK框架进行了映射便于理解和应用攻击战术。KQL基础知识快速掌握选择合适的表数据在KQL中以数据库、表和列的层次结构组织。例如高级狩猎架构中的DeviceNetworkEvents表包含有关网络连接和相关事件的信息。where操作符where操作符用于根据特定条件筛选数据示例如下DeviceNetworkEvents | where LocalIP 192.168.0.1contains/hasContains查找任何子字符串匹配。Has查找特定单词性能更好示例DeviceNetworkEvents | where DeviceName has ComputerNameago返回相对于查询执行时间的时间偏移示例DeviceNetworkEvents | where Timestamp ago(1d)project选择要包含的列并指定顺序示例DeviceNetworkEvents | where Timestamp ago(1d) | where DeviceName has ComputerName | project Timestamp, ActionType, RemoteIP, RemotePort, RemoteUrl威胁狩猎基础入门Microsoft威胁狩猎流程威胁狩猎应该是一个持续的过程。从假设开始规划狩猎目标了解所拥有的数据、工具和专业知识然后执行狩猎。即使没有发现活跃威胁也有后续的异常响应等阶段。MITRE ATTCK框架狩猎方法包括恶意活动的特征描述和狩猎执行两个部分。这些组件应是持续的活动根据有关对手和环境的新信息不断更新。KQL-threat-hunting-queries项目结构与内容主要目录介绍01.ThreatHunting包含各种威胁狩猎相关的KQL查询如针对CVE漏洞CVE-2023-36884、CVE-2023-38831等的查询、可疑进程执行查询等。02.ThreatDetection专注于威胁检测的查询例如检测RMM工具使用、Lumma Stealer相关活动等。03.SecOps与安全运营相关的查询如设备计数、端点隔离状态查询等。Azure针对Azure环境的查询如Log Analytics工作区资源锁活动识别等。Defender For EndpointMicrosoft Defender for Endpoint相关的查询。Defender for Office365Microsoft Defender for Office 365的查询用于检测邮件和URL相关威胁。其他目录如EASM、Learning、MDVM、Sentinel、Syslog-CEF、XSPM等分别针对不同的安全领域和场景提供查询。MITRE ATTCK映射查询在01.ThreatHunting目录下的README.md中详细列出了与MITRE ATTCK框架映射的查询涵盖了初始访问、执行、权限提升、防御规避、凭证泄露、发现、命令与控制等多个战术。例如初始访问Spamhaus 10 Most Abused TLDs对应技术ID T1566。执行WScript to VBS file invoking PowerShell对应技术ID T1059.001。如何开始使用KQL-threat-hunting-queries获取项目要使用该项目首先需要克隆仓库仓库地址是 https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries。选择合适的查询根据具体的威胁狩猎需求在相应的目录中查找合适的KQL查询。可以参考MITRE ATTCK映射关系选择与目标攻击技术相关的查询。在实际环境中应用将选择的KQL查询在Microsoft Sentinel或Microsoft XDR等环境中执行根据查询结果进行威胁分析和响应。在使用前建议先在测试环境中验证查询的有效性和适用性。KQL学习资源推荐官方培训Microsoft Security Operations Analyst Associate (SC-200)如果经常使用Microsoft Sentinel和Microsoft 365 Defender可考虑该认证课程其中包括KQL相关内容如Utilize KQL for Azure Sentinel。Microsoft Defender XDR高级狩猎专家培训提供全面的高级狩猎技能指南可通过Get expert training on advanced hunting获取。社区资源Mehmet Ergene的课程如“Introduction to KQL for Security Analysis (FREE)”和“Hands-On KQL for Threat Hunting and Detection Engineering”。Rod Trents MustLearnKQL一系列博客文章和Youtube视频讨论和介绍Kusto查询语言的强大和简单性。KQL Search由Ugur Koc创建的项目聚合了KQL社区成员为Microsoft Sentinel和Microsoft Defender XDR贡献的查询。总结KQL-threat-hunting-queries是一个非常有价值的开源项目为安全分析师和威胁猎人提供了丰富的KQL查询资源助力他们在Microsoft安全产品环境中更有效地进行威胁狩猎和检测。通过学习KQL基础知识了解项目结构和内容并结合推荐的学习资源新手和普通用户也能快速上手提升威胁狩猎能力更好地保护组织的网络安全。【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考