WireRecon/Detection-Engineering

# Detection Engineering 本仓库包含检测工程（Detection Engineering）的工作内容和实验室产物，按检测语言和平台进行组织。 ## 结构 - `sigma/` — Sigma 规则（计划中） - `yara/` — YARA 规则和静态恶意软件分析文章 - `snort/` — Snort 入侵检测规则（计划中） - `kql/` — Microsoft Sentinel KQL（计划中） - `splunk/` — Splunk SPL（计划中） ## 说明 - 文章（.md）位于各自的检测文件夹内（例如 `yara/docs/`、`sigma/docs/`），以便将文档范围限定在该检测类型。 - 除非另有明确说明，恶意软件样本均使用**静态技术**进行分析。 - 规则旨在尽可能针对**高信号、基于行为的指标**，而非脆弱的 IOC。

标签：DAST, EDR, KQL, Microsoft Sentinel, Sigma 规则, YARA, 云安全监控, 云资产可视化, 域名分析, 安全运营, 恶意软件分析, 扫描框架, 网络安全, 脆弱性评估, 行为检测, 防御加固, 隐私保护, 静态分析