项目地址

https://github.com/TonyPhipps/SIEM

这些资源旨在指导 SIEM 团队……

• … 在 SIEM 和其他安全工具中开发用于内容创建（和退休）的工作流程。
• …说明提供的检测覆盖范围并突出显示覆盖范围差距作为要填补的目标。
• … 根据组织需要消除或添加额外的覆盖层。
• 确保生成和记录适当的日志以进行充分的检测、调查和合规性。

准备、先决条件等

如果不涵盖基础知识，那么拥有 SIEM 就没有多大意义。 强化您的环境并在所有端点上配置适当的审计。

• 准备
• 事件响应政策样本
• RSS订阅
• 电子邮件订阅
• 记录
• 值得注意的事件 ID
• IR 工具和资源
• 事故追踪
• 指标
• 行动回顾后
• 攻击者工具

硬化

• 微软Windows
• 微软活动目录
• 网络

检测策略

要检测攻击者，必须配备必要的日志以揭示他们的活动。 在这里，我们使用矩阵将检测策略映射到攻击者策略 ( Mitre ATT&CK )。

检测方法

收集必要的日志后（检测策略），使用各种方法来揭示异常、可疑和恶意活动。

检测用例

用例提供了一种记录解决方案的方法，原因有很多，包括跟踪工作、统一响应、内容重建、指标和报告、做出明智的决策、避免工作重复等等。

• 用例结构
• 用例审查

数据充实

这些努力可以为一些摄取的日志提供显着的好处。 通常，充实将导致向事件添加新字段或用于过滤或填充字段的查找表。

• GeoIP/ASN 查询
• 编辑距离
• 香农熵分数
• 字符串长度
• 前 100 万个域名
• WHOIS缓存
• DNS查询
• 反向 DNS 查询
• 证书解析
• O365 主体应用 ID
• Windows 登录类型查找
• Windows 状态代码查找

实验室

搭建Windows系统、SIEM、攻击系统实验室，辅助检测研发。

TODO

• [ ] 添加用例示例
• [ ] 添加威胁搜寻库
• [ ] 添加一种面向对象的关系数据库方法来记录所有元素并将其相互关联 - 案例、对手、技术、缓解措施、检测、搜索、日志源等。

标签：工具分享, 学习路线, 思路分享, 学习笔记