KQL-threat-hunting-queries与MITRE ATTCK框架:构建全面的威胁检测体系

发布时间:2026/7/6 18:53:15
KQL-threat-hunting-queries与MITRE ATTCK框架:构建全面的威胁检测体系 KQL-threat-hunting-queries与MITRE ATTCK框架构建全面的威胁检测体系【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queriesKQL-threat-hunting-queries是一个专注于威胁狩猎和威胁检测的KQL查询仓库适用于Microsoft Sentinel和Microsoft XDR前身为Microsoft 365 Defender。通过与MITRE ATTCK框架的深度整合该项目为安全分析师提供了一套系统化的威胁检测解决方案帮助企业构建全面的安全防御体系。什么是MITRE ATTCK框架MITRE ATTCK框架是一个全球公认的网络攻击战术和技术知识库它详细描述了攻击者在攻击生命周期中可能使用的各种战术、技术和程序TTPs。该框架将攻击过程分为多个阶段从初始访问、执行、持久化到命令与控制等每个阶段都对应着多种具体的攻击技术。通过使用MITRE ATTCK框架安全团队可以更好地理解攻击者的行为模式预测可能的攻击路径并制定相应的防御策略。这使得威胁检测和响应工作更加系统化和高效化。KQL-threat-hunting-queries如何映射MITRE ATTCK框架KQL-threat-hunting-queries项目的核心特点之一就是将每个查询都与MITRE ATTCK框架进行映射。在项目的01.ThreatHunting目录下每个查询文件都包含了详细的MITRE ATTCK映射信息包括战术、技术ID和技术名称。例如在MOVEit-exploit-hunting.md文件中我们可以看到以下映射信息Tactic: ExecutionTechnique ID: T1623Command and Scripting Interpreter这种映射关系使得安全分析师能够快速了解每个查询所针对的攻击技术从而更好地理解查询的目的和应用场景。主要ATTCK战术与对应KQL查询初始访问Initial Access初始访问是攻击者入侵系统的第一步。KQL-threat-hunting-queries提供了多个针对初始访问阶段的查询例如Spamhaus 10 Most Abused TLDs针对T1566技术鱼叉式钓鱼通过监控对Spamhaus列出的10个最常被滥用的顶级域名的访问帮助检测潜在的钓鱼攻击。执行Execution执行阶段是攻击者在目标系统上运行恶意代码的过程。相关查询包括WScript to VBS file invoking PowerShell针对T1059.001技术PowerShell检测通过WScript和VBS文件调用PowerShell的可疑行为。MOVEit exploit hunting针对T1623技术命令和脚本解释器检测MOVEit漏洞CVE-2023-34362的利用行为。PowerShell Base64 encoding针对T1059.001技术PowerShell检测使用Base64编码的可疑PowerShell命令。特权提升Privilege Escalation特权提升是攻击者获取更高权限的过程以便进一步控制目标系统。相关查询包括OneNote spawning suspicious processes针对T1055.012技术进程注入检测OneNote生成可疑进程的行为。Screensaver file invoking internet access针对T1546.002技术快捷方式修改检测 screensaver文件发起互联网访问的异常行为。防御规避Defence Evasion防御规避是攻击者逃避安全控制和检测的技术。相关查询包括CVE-2023-36884 Dropped file hunting针对T1211技术通过受害者系统进行数据渗透检测CVE-2023-36884漏洞利用后丢弃的恶意文件。PowerShell spawning MSHTA initiating remote connection针对T1218.005技术Mshta检测PowerShell生成MSHTA并发起远程连接的可疑行为。如何使用KQL-threat-hunting-queries进行威胁检测1. 克隆仓库首先克隆KQL-threat-hunting-queries仓库到本地git clone https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries2. 选择合适的查询根据你的安全需求和关注的ATTCK战术从项目中选择合适的KQL查询。你可以参考01.ThreatHunting/README.md文件该文件提供了所有查询的MITRE ATTCK映射索引。3. 在Microsoft Sentinel或XDR中运行查询将选定的KQL查询复制到Microsoft Sentinel或Microsoft XDR的查询编辑器中根据需要调整时间范围和其他参数然后运行查询以检测潜在的威胁活动。4. 可视化ATTCK技术分布KQL-threat-hunting-queries还提供了用于可视化ATTCK技术分布的查询。例如在03.SecOps/identify-mitreattack-techniques.md文件中你可以找到以下查询用于生成警报中MITRE ATTCK技术的饼图Microsoft Defender XDR:AlertInfo // Define timerange | where Timestamp ago(30d) | where AttackTechniques ! | mvexpand todynamic(AttackTechniques) | summarize count() by tostring(AttackTechniques) // Define graphic | render piechartMicrosoft Sentinel:SecurityAlert // Define timerange | where TimeGenerated ago(30d) | where isnotempty(Techniques) | mvexpand todynamic(Techniques) to typeof(string) | summarize AlertCount dcount(SystemAlertId) by Techniques | sort by AlertCount desc // Define graphic | render piechart通过这些可视化查询你可以快速了解环境中最常出现的ATTCK技术从而调整你的威胁狩猎策略。结语KQL-threat-hunting-queries与MITRE ATTCK框架的结合为安全团队提供了一个强大的威胁检测工具集。通过系统化地映射ATTCK战术和技术该项目使安全分析师能够更精准地检测和响应潜在威胁。无论是新手还是经验丰富的安全专业人员都可以通过这个项目提升威胁狩猎的效率和准确性构建更全面的企业安全防御体系。随着威胁形势的不断演变KQL-threat-hunting-queries项目也在持续更新和扩展。建议定期查看项目的更新以获取最新的威胁检测查询和技术映射确保你的安全防御始终保持在最新状态。【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考