
10个必备的KQL威胁狩猎查询轻松掌握威胁狩猎技巧【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries在当今复杂的网络安全环境中威胁狩猎已成为保护企业数字资产的关键技能。KQLKusto Query Language作为Microsoft Sentinel和Microsoft Defender XDR的核心查询语言为安全分析师提供了强大的威胁检测能力。本文将为您介绍10个必备的KQL威胁狩猎查询帮助您快速掌握威胁狩猎的核心技巧提升安全防御水平。 什么是KQL威胁狩猎查询KQL威胁狩猎查询是基于Microsoft安全平台的专用查询语言能够帮助安全团队在庞大的日志数据中快速识别潜在的安全威胁。通过精心设计的查询语句您可以检测恶意活动、追踪攻击者行为并提前发现安全漏洞。 10个必备的KQL威胁狩猎查询1. PowerShell Base64编码检测查询这个查询专门用于检测PowerShell中的Base64编码命令这是攻击者常用的混淆技术。查询位于01.ThreatHunting/powershell-base64-encoding.md能够帮助您发现潜在的恶意脚本执行。核心功能检测PowerShell中的Base64编码命令支持powershell.exe、pwsh.exe、powershell_ise.exe等进程实时监控近1天的活动2. OneNote恶意进程检测查询随着OneNote被广泛用于恶意软件分发这个查询变得尤为重要。查询文件位于01.ThreatHunting/onenote-spawning-suspicious-processes.md能够检测由OneNote发起的可疑进程。检测目标OneNote启动的PowerShell进程可疑的脚本执行器wscript.exe、cscript.exe等潜在的恶意代码注入行为3. 可疑TLD域名查询通过监控DNS请求到可疑顶级域TLD这个查询能帮助您发现潜在的C2命令与控制通信。查询位于01.ThreatHunting/dns-requests-to-suspicious-tlds.md利用Netcraft的恶意TLD列表进行检测。关键特性集成外部威胁情报源实时DNS连接检查基于信誉的TLD过滤4. CVE-2023-36884漏洞利用检测针对特定漏洞的检测查询非常重要。这个查询专门用于检测CVE-2023-36884的利用行为文件位于01.ThreatHunting/CVE-2023-36884-dropped-file.md。检测逻辑监控特定目录的文件创建检测漏洞利用的第二阶段文件Office相关路径的异常活动5. 网络压缩和移动访问监控这个查询位于01.ThreatHunting/network-zipandmov-access.md用于检测网络共享中的压缩和移动操作这些操作可能表明数据外泄尝试。6. RDP配置修改检测远程桌面协议RDP是攻击者的常见目标。查询文件01.ThreatHunting/rdp-default-listening-port-modification.md和01.ThreatHunting/rdp-enable-by-modifying-registry-key.md帮助检测RDP配置的异常修改。7. 屏幕保护程序恶意利用检测攻击者可能利用屏幕保护程序文件进行持久化攻击。查询位于01.ThreatHunting/screensaver-file-invoking-internet-access.md和01.ThreatHunting/screensaver-file-invoking-suspicious-processes.md监控屏幕保护程序文件的异常行为。8. WSL可疑活动检测随着Windows Subsystem for LinuxWSL的普及攻击者也开始利用这一特性。查询文件01.ThreatHunting/suspicious-execution-using-wsl.md和01.ThreatHunting/suspicious-reconnaissance-activity-through-wsl.md帮助检测WSL环境中的可疑活动。9. 文件删除行为监控恶意软件经常在攻击后清理痕迹。查询位于01.ThreatHunting/suspicious-commands-hunting-to-remove-files.md监控可疑的文件删除命令和模式。10. 暴露管理查询这个查询集合位于01.ThreatHunting/use-exposure-management-to-chart-user-groups-with-local-admin-privileges.md和01.ThreatHunting/use-exposure-management-to-identify-local-ntlm-hashes-from-sensitive-users.md帮助识别环境中的安全暴露点和风险。 威胁检测模块详解除了威胁狩猎项目还包含专门的威胁检测模块位于02.ThreatDetection/目录。这些查询专注于实时检测邮件安全检测02.ThreatDetection/delivered-emails-identified-as-suspicious.md - 识别可疑邮件RMM工具检测02.ThreatDetection/detect-rmm-tools-using-processversioninfocompanymame-table.md - 检测远程管理工具SSL检查02.ThreatDetection/ssl-inspection-for-malware-cnc.md - 恶意软件C2通信检测 安全运维最佳实践项目的03.SecOps/目录提供了安全运维的最佳实践查询设备管理03.SecOps/device-last-seen.md - 设备最后活动时间隔离端点识别03.SecOps/identify-isolated-endpoints.md - 识别隔离的设备MITRE ATTCK技术映射03.SecOps/identify-mitreattack-techniques.md - 攻击技术分类 如何有效使用这些查询1. 环境适配每个查询都需要根据您的具体环境进行适当调整。建议先在测试环境中验证查询的有效性。2. 定期更新威胁情报和攻击技术不断演变定期更新查询逻辑以适应新的威胁模式。3. 性能优化对于大型环境考虑查询的性能影响适当调整时间范围和过滤条件。4. 告警集成将关键查询集成到您的SIEM或SOAR平台中实现自动化告警和响应。 学习资源与进阶项目还提供了丰富的学习资源KQL基础包含在项目README中的基础语法教程威胁狩猎基础MITRE ATTCK框架的应用指南社区资源KQL社区和培训资源的链接 实用技巧时间范围优化根据您的日志保留策略调整查询的时间范围字段选择只选择必要的字段以提高查询性能外部数据集成利用外部威胁情报源增强检测能力定期审查定期审查和更新查询以适应环境变化 重要注意事项在使用这些KQL威胁狩猎查询时请记住所有查询都需要根据具体环境进行测试和调整避免在生产环境中直接运行未经测试的查询关注查询的性能影响特别是对于大型数据集定期更新查询以适应新的威胁和攻击技术 结语掌握这10个必备的KQL威胁狩猎查询您将能够快速建立有效的威胁检测体系。无论是检测常见的攻击技术还是应对新兴的安全威胁这些查询都为您提供了强大的工具基础。记住威胁狩猎是一个持续的过程需要不断学习和适应新的安全挑战。通过实践这些查询您不仅能够提升个人技能还能为组织的整体安全防御做出重要贡献。开始您的威胁狩猎之旅吧【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考