joecornell-cyber/detection-engineering

GitHub: joecornell-cyber/detection-engineering

一个跨 CrowdStrike、Splunk 和 Sentinel 三大 SIEM 平台的检测工程合集,提供可复用的检测规则、威胁狩猎查询和实验环境文档。

Stars: 6 | Forks: 0

# 检测工程 这是一个包含检测工程内容、SIEM 检测、威胁狩猎查询、安全实验室以及专注于现代企业环境的防御性安全实践研究的合集。 本仓库致力于跨多个平台构建实用、可复用的检测工程内容,支持的平台包括 CrowdStrike Falcon LogScale / NG-SIEM、Splunk 和 Microsoft Sentinel。 ## 仓库内容 本仓库包含: - SIEM 检测和威胁狩猎查询 - 检测工程研究 - CrowdStrike LogScale / NG-SIEM CQL 检测 - Splunk SPL 检测移植 - Microsoft Sentinel KQL 内容 - 安全实验室文档 - Active Directory、云和 Wazuh 实验室笔记 - 与检测工程和防御性安全相关的技术文章 ## 仓库结构 ``` detections/ ├── crowdstrike-logscale-cql/ ├── sentinel-kql/ └── splunk-spl/ labs/ ├── active-directory/ ├── cloud/ └── wazuh/ writeups/ ├── README.md └── practical-guide-detection-engineering-crowdstrike-ng-siem.md ``` ## 检测工程 `detections/` 目录包含针对多个 SIEM 和安全平台的威胁狩猎与检测工程内容。 ### 平台 - 使用 CQL 的 CrowdStrike Falcon LogScale / NG-SIEM - 使用 SPL 的 Splunk - 使用 KQL 的 Microsoft Sentinel ### 检测类别 示例包括: - 登录失败异常检测 - 密码喷洒检测 - 暴力破解活动 - 罕见用户登录 - 可疑文件写入活动 - LOLBin 和 living-off-the-land 活动 - Office 进程写入可执行内容 - 注册表配置单元导出检测 - 进程转储文件创建 - 浏览器扩展监控 - 计划任务监控 - 威胁情报丰富化 - Beaconing 检测研究 ## Splunk SPL 检测 `detections/splunk-spl/` 目录包含本项目检测逻辑的 Splunk SPL 版本。 目前的 SPL 覆盖范围包括身份验证、浏览器扩展狩猎、LOLBin 活动、可疑文件写入、与持久化相关的文件活动以及与凭据访问相关的行为。 SPL 检测示例包括: - `failed-logon-password-spray.spl` - `failed-logon-bruteforce.spl` - `failed-logon-geo-anomaly.spl` - `failed-logon-targeted-users.spl` - `file-write-by-lolbin.spl` - `file-write-process-dump.spl` - `file-write-registry-hive-export.spl` - `office-process-writing-executable.spl` - `browser-extension-hunt-host.spl` ## 实验室环境 `labs/` 目录包含网络安全实践实验室环境和相关文档。 ### Active Directory 实验室 专注于 Active Directory 的实验室笔记,涵盖身份、身份验证、Windows 安全和企业攻击路径研究。 ### 云安全实验室 专注于云安全的实践研究环境,用于: - 身份监控 - 云攻击模拟 - 日志和遥测分析 - 安全配置测试 ### Wazuh SIEM 实验室 自定义的 Wazuh 部署,用于: - 终端监控 - 日志摄取 - 检测工程 - 告警验证 ## 技术文章 `writeups/` 目录包含已发布的文章、附属笔记以及与检测工程和防御性安全研究相关的技术文档。 目前的技术文章包括: - [CrowdStrike NG-SIEM 检测工程实用指南](./writeups/practical-guide-detection-engineering-crowdstrike-ng-siem.md) 涵盖的主题包括: - CrowdStrike NG-SIEM - CrowdStrike Query Language - 检测工程方法论 - MITRE ATT&CK 映射 - 威胁狩猎工作流 - 实践检测示例 - SIEM 查询开发 ## 本仓库的目标 本仓库旨在: - 提升检测工程技能 - 构建可复用的防御性安全内容 - 记录实践性安全研究 - 练习 SIEM 和遥测分析 - 探索攻击者行为与检测机会 - 开发可重复的安全工作流 - 跨多个 SIEM 平台映射检测思路 - 为分析师、威胁狩猎者和检测工程师分享实践案例 ## 状态 本仓库处于积极维护状态,并持续更新以下内容: - 新增检测 - Splunk SPL 移植 - CrowdStrike LogScale / NG-SIEM CQL 检测 - Microsoft Sentinel KQL 内容 - 实验室改进 - 威胁狩猎查询 - 技术文章和研究笔记 - 检测调优思路 部分内容在开发过程中可能尚不完整或处于实验阶段。 ## 免责声明 本仓库仅供教育和研究目的使用。 所有测试均在授权的实验室环境中进行。
标签:CrowdStrike, Microsoft Sentinel, Terraform 安全