DE-TH-Aura: Nâng Cao Khả Năng Phát Hiện Mối Đe Dọa với KQL

14/03/2025
2 mins read




DE-TH-Aura là một sáng kiến của SecurityAura nhằm nâng cao khả năng kỹ thuật phát hiện và săn lùng các mối đe dọa bằng cách sử dụng Ngôn ngữ Truy vấn Kusto (KQL). Dưới đây là những điểm chính và chi tiết về dự án:

Nội dung
Đặc điểm chính của DE-TH-Aura
Kế hoạch tương lai
Công cụ và chức năng
Tham gia cộng đồng

Đặc điểm chính của DE-TH-Aura

  • Phát triển truy vấn: Dự án bao gồm cả truy vấn KQL cơ bản và nâng cao được thiết kế cho việc phát hiện và săn lùng mối đe dọa. Những truy vấn này không tĩnh và dự kiến sẽ phát triển theo thời gian khi có các kỹ thuật và trường hợp mới được phát hiện.
  • Nguồn cảm hứng: Các truy vấn được lấy cảm hứng từ nhiều nguồn khác nhau, đảm bảo một cách tiếp cận toàn diện đối với phát hiện và săn lùng mối đe dọa. Điều này bao gồm kinh nghiệm làm việc hàng ngày, tweet, bài viết blog, bài báo nghiên cứu và ý tưởng cá nhân.
  • Cải tiến hợp tác: Dự án khuyến khích sự hợp tác và phản hồi. Các truy vấn có thể được cải thiện bởi những người khác, và SecurityAura dự định sẽ xem xét và tinh chỉnh chúng dựa trên những hiểu biết hoặc tối ưu hóa mới.
  • Công cụ và chức năng: Lõi của DE-TH-Aura là bộ sưu tập truy vấn KQL được thiết kế cho Microsoft Defender XDR và Microsoft Sentinel. Những truy vấn này giúp xác định các mối đe dọa và bất thường tiềm năng trong các bản ghi hệ thống.
  • Kho GitHub: Dự án được lưu trữ trên GitHub, cho phép truy cập và hợp tác dễ dàng. Kho này được cấu trúc theo một mẫu lấy cảm hứng từ Bert-JanP’s Hunting-Queries-Detection-Rules.
  • Tham gia cộng đồng: SecurityAura mời phản hồi và câu hỏi qua các nền tảng truyền thông xã hội, tạo ra một cộng đồng xung quanh dự án. Như một phần của sáng kiến này, SecurityAura đã tham gia vào thử thách #100DaysOfKQL, nơi các truy vấn mới đang được phát triển và chia sẻ thường xuyên.

Kế hoạch tương lai

  • Kết hợp mã giả bằng Sigma: Có kế hoạch sẽ kết hợp mã giả bằng Sigma trong tương lai, mở rộng phạm vi của dự án ra ngoài KQL.

Công cụ và chức năng

  • Truy vấn KQL: Lõi của DE-TH-Aura là bộ sưu tập truy vấn KQL được thiết kế cho Microsoft Defender XDR và Microsoft Sentinel. Những truy vấn này giúp xác định các mối đe dọa và bất thường tiềm năng trong các bản ghi hệ thống.
  • Kho GitHub: Dự án được lưu trữ trên GitHub, cho phép truy cập và hợp tác dễ dàng. Kho này được cấu trúc theo một mẫu lấy cảm hứng từ Bert-JanP’s Hunting-Queries-Detection-Rules.

Tham gia cộng đồng

  • Phản hồi và câu hỏi: SecurityAura mời phản hồi và câu hỏi qua các nền tảng truyền thông xã hội, tạo ra một cộng đồng xung quanh dự án. Thử thách #100DaysOfKQL nhằm đẩy giới hạn của những gì có thể đạt được với KQL trong phát hiện và săn lùng mối đe dọa.

DE-TH-Aura là một dự án động, tận dụng KQL để nâng cao khả năng phát hiện và săn lùng mối đe dọa, với trọng tâm vào việc cải tiến liên tục và tham gia cộng đồng.