如何利用KQL-threat-hunting-queries识别可疑RDP文件活动

发布时间:2026/7/6 20:06:40
如何利用KQL-threat-hunting-queries识别可疑RDP文件活动 如何利用KQL-threat-hunting-queries识别可疑RDP文件活动【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queriesKQL-threat-hunting-queries是一个专注于Microsoft Sentinel和Microsoft XDR前身为Microsoft 365 Defender威胁狩猎与检测的KQL查询仓库帮助安全人员高效识别各类潜在威胁活动。为什么监控RDP文件活动至关重要 远程桌面协议RDP是企业环境中常用的远程管理工具但也常被攻击者利用作为初始访问或横向移动的手段。近年来如Midnight Blizzard等高级威胁组织已开始使用RDP文件进行鱼叉式钓鱼攻击通过Outlook临时文件夹执行恶意操作。及时识别可疑RDP文件活动能有效阻止攻击者建立持久控制。可疑RDP文件活动的常见场景1. Outlook临时文件夹中的RDP文件创建攻击者常通过钓鱼邮件附件分发恶意RDP文件当用户在Outlook中打开这些附件时文件会暂存在临时目录。Windows 10和Windows 11的Outlook临时文件夹路径存在差异需分别监控Windows 10\AppData\Local\Microsoft\Content.Outlook\Windows 11\AppData\Local\Microsoft\Olk\相关查询文件Defender For Endpoint/suspicious-rdp-files-in-outlook-temporary-folders.md2. 通过修改注册表启用RDP服务攻击者可能通过修改系统注册表启用RDP服务常见手法是修改fDenyTSConnections键值0表示启用1表示禁用。监控reg.exe对该注册表项的修改可及时发现异常配置变更。相关查询文件01.ThreatHunting/rdp-enable-by-modifying-registry-key.md3. RDP端口与防火墙规则异常攻击者可能修改RDP默认端口3389或添加防火墙规则允许外部RDP连接。通过监控netsh命令对防火墙的调整以及注册表中RDP端口的变更可识别此类可疑行为。相关查询文件01.ThreatHunting/netsh-command-for-firewall-to-allow-incoming-rdp-connections.md01.ThreatHunting/rdp-default-listening-port-modification.md实用检测方法与最佳实践使用KQL查询快速定位风险在Microsoft Defender XDR或Sentinel中可通过以下方法筛选可疑RDP活动Outlook临时文件检测结合进程命令行包含临时文件夹路径和.rdp扩展名的特征区分Windows 10/11环境。注册表变更审计关联reg.exe进程与fDenyTSConnections键值修改事件时间差控制在1分钟内以提高准确性。端口与防火墙监控筛选包含RemoteDesktop或端口号的netsh命令以及TcpPort注册表项的异常值。结合ATTCK框架理解攻击链RDP相关威胁活动主要映射MITRE ATTCK战术初始访问T1566.001通过钓鱼附件分发RDP文件防御规避T1112修改注册表启用RDP服务横向移动T1021.001利用RDP协议进行远程控制如何开始使用KQL-threat-hunting-queries克隆项目仓库git clone https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries根据需求选择查询文件威胁狩猎场景01.ThreatHunting/防御端点场景Defender For Endpoint/在Microsoft XDR或Sentinel中导入查询结合实际环境调整参数如时间范围、设备组。总结通过KQL-threat-hunting-queries提供的针对性查询安全团队可高效监控RDP文件创建、注册表修改、端口变更等关键行为及时阻断攻击者的入侵路径。建议定期更新查询规则并结合攻击情报优化检测策略构建纵深防御体系。【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考