KQL-threat-hunting-queries与MITRE ATT&CK框架:构建全面的威胁检测体系
【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel & Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries
KQL-threat-hunting-queries是一个专注于威胁狩猎和威胁检测的KQL查询仓库,适用于Microsoft Sentinel和Microsoft XDR(前身为Microsoft 365 Defender)。通过与MITRE ATT&CK框架的深度整合,该项目为安全分析师提供了一套系统化的威胁检测解决方案,帮助企业构建全面的安全防御体系。
什么是MITRE ATT&CK框架?
MITRE ATT&CK框架是一个全球公认的网络攻击战术和技术知识库,它详细描述了攻击者在攻击生命周期中可能使用的各种战术、技术和程序(TTPs)。该框架将攻击过程分为多个阶段,从初始访问、执行、持久化到命令与控制等,每个阶段都对应着多种具体的攻击技术。
通过使用MITRE ATT&CK框架,安全团队可以更好地理解攻击者的行为模式,预测可能的攻击路径,并制定相应的防御策略。这使得威胁检测和响应工作更加系统化和高效化。
KQL-threat-hunting-queries如何映射MITRE ATT&CK框架?
KQL-threat-hunting-queries项目的核心特点之一就是将每个查询都与MITRE ATT&CK框架进行映射。在项目的01.ThreatHunting目录下,每个查询文件都包含了详细的MITRE ATT&CK映射信息,包括战术、技术ID和技术名称。
例如,在MOVEit-exploit-hunting.md文件中,我们可以看到以下映射信息:
- Tactic: Execution
- Technique ID: T1623
- Command and Scripting Interpreter
这种映射关系使得安全分析师能够快速了解每个查询所针对的攻击技术,从而更好地理解查询的目的和应用场景。
主要ATT&CK战术与对应KQL查询
初始访问(Initial Access)
初始访问是攻击者入侵系统的第一步。KQL-threat-hunting-queries提供了多个针对初始访问阶段的查询,例如:
- Spamhaus 10 Most Abused TLDs:针对T1566技术(鱼叉式钓鱼),通过监控对Spamhaus列出的10个最常被滥用的顶级域名的访问,帮助检测潜在的钓鱼攻击。
执行(Execution)
执行阶段是攻击者在目标系统上运行恶意代码的过程。相关查询包括:
- WScript to VBS file invoking PowerShell:针对T1059.001技术(PowerShell),检测通过WScript和VBS文件调用PowerShell的可疑行为。
- MOVEit exploit hunting:针对T1623技术(命令和脚本解释器),检测MOVEit漏洞(CVE-2023-34362)的利用行为。
- PowerShell Base64 encoding:针对T1059.001技术(PowerShell),检测使用Base64编码的可疑PowerShell命令。
特权提升(Privilege Escalation)
特权提升是攻击者获取更高权限的过程,以便进一步控制目标系统。相关查询包括:
- OneNote spawning suspicious processes:针对T1055.012技术(进程注入),检测OneNote生成可疑进程的行为。
- Screensaver file invoking internet access:针对T1546.002技术(快捷方式修改),检测 screensaver文件发起互联网访问的异常行为。
防御规避(Defence Evasion)
防御规避是攻击者逃避安全控制和检测的技术。相关查询包括:
- CVE-2023-36884 Dropped file hunting:针对T1211技术(通过受害者系统进行数据渗透),检测CVE-2023-36884漏洞利用后丢弃的恶意文件。
- PowerShell spawning MSHTA & initiating remote connection:针对T1218.005技术(Mshta),检测PowerShell生成MSHTA并发起远程连接的可疑行为。
如何使用KQL-threat-hunting-queries进行威胁检测
1. 克隆仓库
首先,克隆KQL-threat-hunting-queries仓库到本地:
git clone https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries2. 选择合适的查询
根据你的安全需求和关注的ATT&CK战术,从项目中选择合适的KQL查询。你可以参考01.ThreatHunting/README.md文件,该文件提供了所有查询的MITRE ATT&CK映射索引。
3. 在Microsoft Sentinel或XDR中运行查询
将选定的KQL查询复制到Microsoft Sentinel或Microsoft XDR的查询编辑器中,根据需要调整时间范围和其他参数,然后运行查询以检测潜在的威胁活动。
4. 可视化ATT&CK技术分布
KQL-threat-hunting-queries还提供了用于可视化ATT&CK技术分布的查询。例如,在03.SecOps/identify-mitreattack-techniques.md文件中,你可以找到以下查询,用于生成警报中MITRE ATT&CK技术的饼图:
Microsoft Defender XDR:
AlertInfo // Define timerange | where Timestamp > ago(30d) | where AttackTechniques != "" | mvexpand todynamic(AttackTechniques) | summarize count() by tostring(AttackTechniques) // Define graphic | render piechartMicrosoft Sentinel:
SecurityAlert // Define timerange | where TimeGenerated > ago(30d) | where isnotempty(Techniques) | mvexpand todynamic(Techniques) to typeof(string) | summarize AlertCount = dcount(SystemAlertId) by Techniques | sort by AlertCount desc // Define graphic | render piechart通过这些可视化查询,你可以快速了解环境中最常出现的ATT&CK技术,从而调整你的威胁狩猎策略。
结语
KQL-threat-hunting-queries与MITRE ATT&CK框架的结合为安全团队提供了一个强大的威胁检测工具集。通过系统化地映射ATT&CK战术和技术,该项目使安全分析师能够更精准地检测和响应潜在威胁。无论是新手还是经验丰富的安全专业人员,都可以通过这个项目提升威胁狩猎的效率和准确性,构建更全面的企业安全防御体系。
随着威胁形势的不断演变,KQL-threat-hunting-queries项目也在持续更新和扩展。建议定期查看项目的更新,以获取最新的威胁检测查询和技术映射,确保你的安全防御始终保持在最新状态。
【免费下载链接】KQL-threat-hunting-queriesA repository of KQL queries focused on threat hunting and threat detecting for Microsoft Sentinel & Microsoft XDR (Former Microsoft 365 Defender).项目地址: https://gitcode.com/gh_mirrors/kq/KQL-threat-hunting-queries
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考