KQL 项目使用教程

1. 项目目录结构及介绍

KQL 项目的主要目录结构如下：

KQL/
├── LICENSE
├── README.md
├── AzSentinel/
│   ├── KQL_apt_apt29_thinktanks.txt
│   ├── KQL_apt_babyshark.txt
│   ├── ...
│   └── KQL_win_susp_time_modification.txt
├── KQL_auditligs_pim_requests
├── KQL_auditlogs_newly_created_users
├── ...
└── KQL_win_user_added_to_local_administrators.txt

• LICENSE：项目的许可证文件，本项目采用 MIT 许可。
• README.md：项目的说明文件，包含了项目的基本信息和如何使用。
• AzSentinel：包含了针对 Microsoft Defender ATP 和 Azure Sentinel 的 KQL 查询文件。
• 其他文件：根据不同的功能模块，包含了相应的 KQL 查询文件。

2. 项目的启动文件介绍

本项目没有特定的启动文件，因为它是基于文本的 KQL 查询集合。用户可以直接在支持 KQL 的环境中使用这些查询，例如 Microsoft Defender ATP 或 Azure Sentinel。

3. 项目的配置文件介绍

本项目没有配置文件。每个 KQL 查询都是一个独立的文本文件，可以直接被 KQL 解释器读取和使用。用户可以根据自己的需求修改这些查询文件，或者创建新的查询文件。

在使用这些 KQL 查询时，用户需要根据自己的环境和需求进行相应的配置和调整。例如，查询中可能包含特定的日志源或参数，用户需要确保这些日志源在他们的环境中可用，并且参数设置正确。

以上就是关于 KQL 项目的使用教程，希望对您有所帮助。