aring87/Detection-Engineering

# 检测工程 一个用于构建、治理、验证和报告现代检测工程计划的集中式仓库。 [](docs/00_executive/) [](docs/01_strategy/) [](docs/02_process/) [](docs/03_visuals/) [](docs/04_reporting/) [](detections/sentinel/) [](governance/) [](content/triage-guides/) 本仓库作为以下内容的一站式位置： - 检测工程策略和计划文档 - 高管提案和成熟度报告 - Microsoft Sentinel 的检测即代码 (detection-as-code) 内容 - ATT&CK 和 Cyber Kill Chain 覆盖追踪 - 验证、调优和质量标准 - 工作流自动化和 CI/CD 基础 - SOC 工作流对齐和持续改进 ## 目的 检测工程不仅仅是编写告警逻辑。一个成熟的计划需要结构、治理、测试、报告，以及一个将威胁假设转化为可靠安全分析的重复流程。 ## 从这里开始 本仓库的组织结构旨在通过单一位置为领导层、检测工程师和 SOC/IR 利益相关者提供支持。 ### 领导层 从这里开始了解计划意图、成熟度和报告： - [高管文档](docs/00_executive/) - [计划章程](docs/00_executive/program-charter.md) - [路线图](docs/00_executive/roadmap.md) - [使命](docs/01_strategy/mission.md) - [范围](docs/01_strategy/scope.md) - [成熟度模型](docs/01_strategy/maturity-model.md) - [指标目录](docs/04_reporting/metrics-catalog.md) - [季度计划评审模板](docs/04_reporting/quarterly-program-review-template.md) - [年度路线图评审](docs/04_reporting/annual-roadmap-review.md) - [差距分析](docs/04_reporting/gap-analysis.md) ### 检测工程师 从这里开始了解内容开发、标准和规则管理： - [Sentinel 检测项](detections/sentinel/) - [治理标准](governance/) - [运营模型](docs/01_strategy/operating-model.md) - [检测生命周期](docs/02_process/detection-lifecycle.md) - [摄入工作流](docs/02_process/intake-workflow.md) - [QA 和验证标准](docs/02_process/qa-validation-standard.md) - [调优标准](docs/02_process/tuning-standard.md) - [检测规则模板](content/templates/detection-rule-template.yml) - [验证清单](content/templates/validation-checklist.md) - [检测追踪矩阵](docs/04_reporting/detection_tracking_matrix.csv) ### SOC / 事件响应 从这里开始了解分诊支持、流程上下文、升级指导和覆盖可见性： - [分诊指南](content/triage-guides/) - [优先级入门分诊指南](content/triage-guides/priority-starter-rules/) - [SOC 和事件响应协同](docs/02_process/soc-incident-response-alignment.md) - [告警升级指导](docs/02_process/alert-escalation-guidance.md) - [检测反馈循环](docs/02_process/detection-feedback-loop.md) - [例外管理](docs/02_process/exception-management.md) - [变更控制](docs/02_process/change-control.md) - [覆盖率](coverage/) - [图表](docs/03_visuals/) ## 仓库目标 本仓库支持完整的检测工程生命周期： 1. 定义策略和治理 2. 摄入并确定检测机会的优先级 3. 以代码形式构建和维护检测项 4. 根据真实或模拟活动验证检测项 5. 调优检测项以提高保真度并降低噪音 6. 通过受控工作流部署内容 7. 衡量覆盖率、质量和计划成熟度 8. 向 SOC 领导层和高管利益相关者汇报价值 ## 高管文档 本仓库包含高管和计划级别的文档，以支持领导层可见性、路线图规划和检测工程计划成熟度。 ### 核心高管工件 - [检测工程提案 (DOCX)](docs/00_executive/detection-engineering-proposal.docx) - [检测工程提案 (PDF)](docs/00_executive/detection-engineering-proposal.pdf) - [计划章程](docs/00_executive/program-charter.md) - [路线图](docs/00_executive/roadmap.md) ### 策略 - [使命](docs/01_strategy/mission.md) - [范围](docs/01_strategy/scope.md) - [成熟度模型](docs/01_strategy/maturity-model.md) - [运营模型](docs/01_strategy/operating-model.md) ### 报告 - [指标目录](docs/04_reporting/metrics-catalog.md) - [季度计划评审模板](docs/04_reporting/quarterly-program-review-template.md) - [年度路线图评审](docs/04_reporting/annual-roadmap-review.md) - [差距分析](docs/04_reporting/gap-analysis.md) ### 高管和计划文档 - `docs/00_executive/` — 高管摘要、提案、章程、路线图 - `docs/01_strategy/` — 使命、范围、运营模型、成熟度模型 - `docs/02_process/` — 检测生命周期、摄入、QA、调优、例外、变更控制 - `docs/03_visuals/` — 面向领导层和工程的图表 - `docs/04_reporting/` — 指标目录、季度评审、差距分析 ### 治理 - `governance/` — 命名、严重性、生命周期、标签和分析质量标准 ### 检测内容 - `detections/sentinel/` — Microsoft Sentinel 检测内容 - `detections/mappings/` — ATT&CK 和 Cyber Kill Chain 映射 - `detections/sigma/` — Sigma 内容（如适用） ### 可复用内容 - `content/templates/` — 检测、请求、分诊指南和验证模板 - `content/runbooks/` — 分析师和工程运营指南 - `content/playbooks/` — 自动化和响应内容 - `content/workbooks/` — Workbook 相关内容和标准 ### 覆盖率和报告 - `coverage/` — ATT&CK 和 Cyber Kill Chain 覆盖数据、摘要和差距追踪 - `dashboards/` — Sentinel Workbook 和高管指标内容 ### 自动化和验证 - `automation/` — 脚本、模式、部署助手、报告支持 - `tests/` — 验证参考、示例日志和测试支持 - `.github/workflows/` — 用于验证和部署的 GitHub Actions ## 当前重点 本仓库目前以 **Microsoft Sentinel 检测工程** 为中心，同时也具备扩展为更广泛的多平台检测工程计划的结构。 计划中的未来扩展包括： - Splunk 检测工程内容 - 标准化的跨平台检测元数据 - 跨工具的共享治理和生命周期标准 - 针对多个安全平台的通用报告和成熟度追踪 ## 检测生命周期 每个检测项都应经历一个受控的生命周期： - `experimental` (实验性) - `testing` (测试中) - `production` (生产环境) - `deprecated` (已弃用) 此生命周期有助于确保检测项： - 已文档化 - 已评审 - 已验证 - 已调优 - 随时间推移得到维护 更多详细信息维护在： - `docs/02_process/detection-lifecycle.md` - `governance/lifecycle-standard.md` ## 检测内容标准 每个检测项在适用情况下应包含： - 标题 - 唯一标识符 - 描述 - 作者 - 创建和修改日期 - 平台 - 数据源 - ATT&CK 战术和技术映射 - Cyber Kill Chain 阶段 - 严重性 - 查询或逻辑 - 误报考虑因素 - 分诊指导 - 验证说明 - 生命周期状态 - 负责人 模板和指南位于： - `content/templates/detection-rule-template.yml` - `content/templates/rule-request-template.md` - `content/templates/triage-guide-template.md` - `content/templates/validation-checklist.md` ## 高管价值 本仓库通过提供以下内容来支持高管和领导层的可见性： - 正式的检测工程提案 - 成熟度模型文档 - ATT&CK 覆盖追踪 - 差距分析 - 计划图表和工作流图 - 季度和年度评审的报告结构 关键领导层成果包括： - 提高检测覆盖率的可见性 - 可衡量的计划成熟度 - 更好地确定检测工程工作的优先级 - 通过更结构化的调优和分诊减轻分析师负担 - SOC 运营与工程之间更强的协同 ## 主要受众 ### 领导层 本仓库提供策略、高管摘要、成熟度报告和可衡量的计划成果。 ### 检测工程师 本仓库提供标准、模板、检测内容、映射、验证指导和工作流结构。 ### SOC 分析师和事件响应人员 本仓库提供分诊支持、工作流协同、覆盖上下文以及告警反馈和调优的路径。 ## Microsoft Sentinel 内容 本仓库的 Sentinel 部分旨在支持： - 对齐 ATT&CK 的检测项 - 基于生命周期的分析管理 - 规则调优和验证 - Workbook/报告对齐 - 未来的 CI/CD 驱动部署 这为从孤立的分析规则迈向完整的 Sentinel 检测工程计划奠定了基础。 ## 覆盖率和指标 维护覆盖率追踪有助于回答： - 哪些 ATT&CK 技术已被覆盖 - 检测差距仍存在于何处 - 哪些战术拥有最强的内容支持 - 新的工程工作应优先投入到何处 - 计划随时间的成熟度如何 覆盖率工件维护在： - `coverage/mitre/` - `coverage/cyber-kill-chain/` ## 贡献模型 所有内容应通过版本控制管理，并在提升前进行评审。 推荐的贡献流程： 1. 提交请求、更改或新检测 2. 评审元数据的完整性和质量 3. 验证逻辑和映射 4. 记录调优和运营考量 5. 通过 Pull Request 评审合并 6. 在生命周期阶段中提升 支持文件： - `CONTRIBUTING.md` - `.github/PULL_REQUEST_TEMPLATE.md` - `.github/ISSUE_TEMPLATE/` ## 建议路线图 ### 近期 - 将所有现有 Sentinel 检测项规范化为通用模式 - 标准化战术文件夹命名 - 扩展 ATT&CK 和 Cyber Kill Chain 映射 - 添加分诊指南和验证证据 - 改进高管和运营报告 ### 中期 - 加强 GitHub Actions 验证 - 为 Sentinel 内容添加部署自动化 - 扩展覆盖率报告 - 构建 Workbook 和 Dashboard 结构 ### 长期 - 扩展至 Splunk 检测工程 - 支持跨平台检测标准 - 成熟化为完整的工程驱动安全内容计划 ## 入门指南 ### 对于领导层 从这里开始： - `docs/00_executive/` - `docs/01_strategy/` - `docs/04_reporting/` ### 对于工程师 从这里开始： - `detections/sentinel/` - `content/templates/` - `governance/` - `tests/` ### 对于 SOC 和 IR 从这里开始： - `docs/02_process/` - `content/templates/triage-guide-template.md` - `coverage/` ## 仓库状态 本仓库正在积极开发为完整的检测工程平台，结合了： - 提案和计划策略 - 检测即代码 - 治理标准 - 测试和调优工作流 - 高管报告 - 平台扩展规划 ## 许可证 本仓库根据 MIT 许可证授权。请参阅 [LICENSE](LICENSE)。

标签：AMSI绕过, Cloudflare, Cyber Kill Chain, Detection Engineering, Detections-as-Code, KQL, Microsoft Sentinel, MITRE ATT&CK, Python 实现, YAML, 分析规则, 威胁情报, 威胁检测, 安全库, 安全成熟度模型, 安全治理, 安全策略, 安全运营中心, 开发者工具, 提示词设计, 数据模型, 检测即代码, 网络映射, 网络杀伤链