KQL威胁狩猎查询开源项目教程

KQL威胁狩猎查询开源项目教程

KQL-threat-hunting-queries A repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel & Microsoft XDR (Former Microsoft 365 Defender). 项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries

1. 项目介绍

KQL威胁狩猎查询开源项目是一个专注于为Microsoft Sentinel和Microsoft Defender XDR提供预制的检测和狩猎查询的仓库。这些查询帮助安全分析师和威胁狩猎者利用Kusto Query Language (KQL)的强大功能来分析和识别潜在的安全威胁。

2. 项目快速启动

以下是一个简单的KQL查询示例，用于检查特定的本地IP地址在Microsoft Sentinel中的网络活动：

DeviceNetworkEvents
| where LocalIP == "192.168.0.1"
| project Timestamp, ActionType, RemoteIP, RemotePort, RemoteUrl

在您的KQL环境中执行这段代码，您将获得与指定本地IP地址相关的网络事件列表。

3. 应用案例和最佳实践

应用案例

• 检测异常的网络活动：通过分析网络连接和相关的活动日志，可以识别出不符合正常行为模式的异常流量。
• 识别潜在的恶意软件活动：对端点上的文件活动进行查询，可以帮助发现恶意软件的迹象。

最佳实践

• 定期更新查询：随着威胁环境的不断变化，应定期更新查询以检测新出现的威胁。
• 充分测试：在将查询部署到生产环境中之前，确保在测试环境中进行了充分的测试。

4. 典型生态项目

• KQL Search：该项目由Ugur Koc创建，汇集了社区成员贡献的针对Microsoft Sentinel和Microsoft Defender XDR的查询。
• KQL Cafe：一个社区驱动的平台，用于分享和讨论KQL相关的知识和经验。

通过参与这些生态项目，您可以进一步扩展您的KQL知识，并与社区成员交流经验。

KQL-threat-hunting-queries A repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel & Microsoft XDR (Former Microsoft 365 Defender). 项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries