the4deathlyhallows/light-from-the-shadows

# 暗处之光 (Light From The Shadows) 欢迎来到 **暗处之光 (Light From The Shadows)**，这是我的检测工程 (Detection Engineering) 作品集，致力于揭露潜伏在黑暗中的隐匿威胁。本仓库展示了检测规则、富化 (Enrichment) 脚本以及 Playbook，旨在照亮网络对手藏身的阴影。 ## 你会发现什么 - **检测规则：** 针对隐蔽对手行为的 KQL、Splunk SPL 和 Sigma 查询。 - **富化脚本：** 用于增强和自动化威胁检测工作流的 Python 工具。 - **Playbook 与文档：** 我的个人方法论及 MITRE ATT&CK 映射。 ## 理念 检测意味着照亮环境中最黑暗的角落——通过融合数据、逻辑和不懈的好奇心，捕捉那些被他人忽略的事物。 ## 理念 _"从黑暗中得见清晰。"_ ## 📂 仓库状态 ✔ 首个 IOC 富化脚本已上线 ⬜ 下一步：添加真实富化逻辑，输出格式化 ⬜ 以后：日志解析器，异常检测，完整 MITRE 覆盖 ## 作者 Robert Clark Cyber Threat Hunter | Detection Engineer | Adversary Pursuit 🔍 TS/SCI | Python | Splunk | Defender | MDE ## 贡献与反馈 随意 fork、使用或基于此处的任何内容进行构建。如果这个仓库激发了你的灵感，请给个 Star——如果你想合作或交流检测逻辑，请告诉我。

标签：AMSI绕过, Cloudflare, EDR, IOC, KQL, Kusto查询语言, MDE, MITRE ATT&CK, PE 加载器, Python, SPL, Web报告查看器, 剧本, 威胁检测, 安全运营, 扫描框架, 攻击者追踪, 数据富化, 无后门, 紫队, 网络安全, 脆弱性评估, 逆向工具, 隐私保护