
Microsoft XDR威胁狩猎新手指南基于KQL-threat-hunting-queries的实战分析【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queriesKQL-threat-hunting-queries是一个专注于为Microsoft Sentinel和Microsoft XDR前身为Microsoft 365 Defender提供威胁狩猎与威胁检测KQL查询的开源项目。本指南将帮助新手快速掌握利用该项目进行威胁狩猎的核心方法无需深入复杂代码即可有效提升安全分析能力。一、认识KQL与威胁狩猎的基础1.1 什么是KQLKusto查询语言KQL是一种功能强大的查询语言专为日志和遥测数据设计。在Microsoft XDR和Sentinel中KQL是分析安全事件、检测威胁的核心工具。KQL-threat-hunting-queries项目提供了大量预编写的KQL查询让新手也能轻松上手威胁狩猎。1.2 威胁狩猎的基本流程威胁狩猎通常包括以下步骤确定狩猎目标如特定CVE漏洞如CVE-2023-36884或攻击技术如T1059.001命令执行选择合适的KQL查询从项目中找到匹配场景的查询执行与分析结果在XDR/Sentinel中运行查询并解读结果采取响应措施根据发现的威胁采取隔离、清除等行动二、KQL-threat-hunting-queries项目结构解析项目主要分为三大核心目录每个目录对应不同的安全场景2.1 01.ThreatHunting目录主动狩猎场景该目录包含针对各类威胁的主动狩猎查询例如CVE漏洞狩猎如CVE-2023-36884相关的Dropped file和URL marker检测恶意进程检测如PowerShell Base64编码、OneNote生成可疑进程等查询可疑行为分析如修改PowerShell执行策略、DNS请求可疑TLD等场景2.2 02.ThreatDetection目录威胁检测规则提供已验证的威胁检测查询适用于日常安全监控邮件安全如检测钓鱼邮件主题关键词、可疑附件分析恶意软件检测如Lumma Stealer、Raspberry Robin恶意软件的特征识别RMM工具识别通过进程版本信息检测可疑远程管理工具2.3 03.SecOps目录安全运营支持包含安全运营日常工作所需的查询设备管理如基于OS版本统计设备、识别长时间未上线设备事件响应如隔离端点管理、PIM激活审计合规检查如检测WSL是否安装MDE插件、本地管理员权限审计三、快速上手使用KQL查询的3个简单步骤3.1 选择合适的查询文件根据你的狩猎目标从项目目录中选择对应的.md文件。例如若要检测PowerShell恶意活动可选择01.ThreatHunting/powershell-base64-encoding.md若要分析可疑邮件可查看02.ThreatDetection/recently-received-emails-with-phishing-related-subject-keywords.md3.2 复制并执行KQL查询每个.md文件都包含完整的KQL查询代码块只需打开选定的.md文件复制查询代码在Microsoft XDR或Sentinel的查询编辑器中粘贴并运行3.3 分析查询结果查询结果将展示符合条件的安全事件重点关注异常进程行为如可疑命令行参数恶意文件路径如临时目录中的可疑RDP文件异常网络连接如与已知恶意IP的通信四、实战案例使用项目查询检测常见威胁4.1 CVE-2023-36884漏洞狩猎CVE-2023-36884是WinRAR的一个远程代码执行漏洞项目提供了两个专用查询CVE-2023-36884-dropped-file.md检测漏洞利用后释放的恶意文件CVE-2023-36884-url-marker.md识别利用漏洞的恶意URL特征4.2 检测可疑PowerShell活动PowerShell是攻击者常用的工具项目中相关查询包括powershell-base64-encoding.md检测Base64编码的可疑PowerShell命令changing-powershell-execution-policy-to-insecure-level.md监控执行策略降低行为4.3 OneNote恶意附件检测针对利用OneNote传播恶意软件的趋势可使用onenote-spawning-suspicious-processes.md检测OneNote启动的可疑进程onenote-invoking-browser-with-smartscreen-alert.md识别触发SmartScreen的浏览器调用五、进阶技巧扩展与定制KQL查询5.1 理解查询结构典型的KQL查询包含以下部分// 数据来源表 DeviceProcessEvents // 筛选条件 | where Timestamp ago(7d) and ProcessCommandLine contains base64 // 结果处理 | project DeviceName, ProcessCommandLine, Timestamp | sort by Timestamp desc5.2 根据环境调整查询可根据实际需求修改查询参数时间范围调整ago(7d)为适合的时间段关键词添加或修改contains后的特征字符串输出字段调整project后的列名以获取所需信息5.3 贡献新的查询如果你发现了新的威胁模式可以通过以下步骤贡献查询基于threat-hunting-template.md创建新文件遵循项目的MITRE ATTCK映射规范提交Pull Request分享你的发现六、学习资源与社区支持6.1 官方学习路径Microsoft提供了免费的KQL学习资源Microsoft LearnUtilize KQL for Azure Sentinel6.2 项目使用建议定期同步项目更新获取最新威胁检测规则结合企业实际环境调整查询阈值建立查询结果的基线便于识别异常6.3 开始使用项目要开始使用KQL-threat-hunting-queries只需克隆仓库git clone https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries通过本指南你已经掌握了使用KQL-threat-hunting-queries进行威胁狩猎的基础知识。随着实践的深入你将能更灵活地运用这些查询提升组织的安全防御能力。记住威胁狩猎是一个持续学习的过程保持对新威胁的关注不断优化你的检测策略。【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考