joecornell-cyber/detection-engineering
GitHub: joecornell-cyber/detection-engineering
一个跨 CrowdStrike、Splunk 和 Sentinel 三大 SIEM 平台的检测工程合集,提供可复用的检测规则、威胁狩猎查询和实验环境文档。
Stars: 6 | Forks: 0
# 检测工程
这是一个包含检测工程内容、SIEM 检测、威胁狩猎查询、安全实验室以及专注于现代企业环境的防御性安全实践研究的合集。
本仓库致力于跨多个平台构建实用、可复用的检测工程内容,支持的平台包括 CrowdStrike Falcon LogScale / NG-SIEM、Splunk 和 Microsoft Sentinel。
## 仓库内容
本仓库包含:
- SIEM 检测和威胁狩猎查询
- 检测工程研究
- CrowdStrike LogScale / NG-SIEM CQL 检测
- Splunk SPL 检测移植
- Microsoft Sentinel KQL 内容
- 安全实验室文档
- Active Directory、云和 Wazuh 实验室笔记
- 与检测工程和防御性安全相关的技术文章
## 仓库结构
```
detections/
├── crowdstrike-logscale-cql/
├── sentinel-kql/
└── splunk-spl/
labs/
├── active-directory/
├── cloud/
└── wazuh/
writeups/
├── README.md
└── practical-guide-detection-engineering-crowdstrike-ng-siem.md
```
## 检测工程
`detections/` 目录包含针对多个 SIEM 和安全平台的威胁狩猎与检测工程内容。
### 平台
- 使用 CQL 的 CrowdStrike Falcon LogScale / NG-SIEM
- 使用 SPL 的 Splunk
- 使用 KQL 的 Microsoft Sentinel
### 检测类别
示例包括:
- 登录失败异常检测
- 密码喷洒检测
- 暴力破解活动
- 罕见用户登录
- 可疑文件写入活动
- LOLBin 和 living-off-the-land 活动
- Office 进程写入可执行内容
- 注册表配置单元导出检测
- 进程转储文件创建
- 浏览器扩展监控
- 计划任务监控
- 威胁情报丰富化
- Beaconing 检测研究
## Splunk SPL 检测
`detections/splunk-spl/` 目录包含本项目检测逻辑的 Splunk SPL 版本。
目前的 SPL 覆盖范围包括身份验证、浏览器扩展狩猎、LOLBin 活动、可疑文件写入、与持久化相关的文件活动以及与凭据访问相关的行为。
SPL 检测示例包括:
- `failed-logon-password-spray.spl`
- `failed-logon-bruteforce.spl`
- `failed-logon-geo-anomaly.spl`
- `failed-logon-targeted-users.spl`
- `file-write-by-lolbin.spl`
- `file-write-process-dump.spl`
- `file-write-registry-hive-export.spl`
- `office-process-writing-executable.spl`
- `browser-extension-hunt-host.spl`
## 实验室环境
`labs/` 目录包含网络安全实践实验室环境和相关文档。
### Active Directory 实验室
专注于 Active Directory 的实验室笔记,涵盖身份、身份验证、Windows 安全和企业攻击路径研究。
### 云安全实验室
专注于云安全的实践研究环境,用于:
- 身份监控
- 云攻击模拟
- 日志和遥测分析
- 安全配置测试
### Wazuh SIEM 实验室
自定义的 Wazuh 部署,用于:
- 终端监控
- 日志摄取
- 检测工程
- 告警验证
## 技术文章
`writeups/` 目录包含已发布的文章、附属笔记以及与检测工程和防御性安全研究相关的技术文档。
目前的技术文章包括:
- [CrowdStrike NG-SIEM 检测工程实用指南](./writeups/practical-guide-detection-engineering-crowdstrike-ng-siem.md)
涵盖的主题包括:
- CrowdStrike NG-SIEM
- CrowdStrike Query Language
- 检测工程方法论
- MITRE ATT&CK 映射
- 威胁狩猎工作流
- 实践检测示例
- SIEM 查询开发
## 本仓库的目标
本仓库旨在:
- 提升检测工程技能
- 构建可复用的防御性安全内容
- 记录实践性安全研究
- 练习 SIEM 和遥测分析
- 探索攻击者行为与检测机会
- 开发可重复的安全工作流
- 跨多个 SIEM 平台映射检测思路
- 为分析师、威胁狩猎者和检测工程师分享实践案例
## 状态
本仓库处于积极维护状态,并持续更新以下内容:
- 新增检测
- Splunk SPL 移植
- CrowdStrike LogScale / NG-SIEM CQL 检测
- Microsoft Sentinel KQL 内容
- 实验室改进
- 威胁狩猎查询
- 技术文章和研究笔记
- 检测调优思路
部分内容在开发过程中可能尚不完整或处于实验阶段。
## 免责声明
本仓库仅供教育和研究目的使用。
所有测试均在授权的实验室环境中进行。
标签:CrowdStrike, Microsoft Sentinel, Terraform 安全