azdabat/azdabat

# Ala Dabat — 高级威胁检测与威胁狩猎 ## 概述 我为现代企业攻击链构建**生产级行为检测逻辑**。 我的工作重点在于： - **可扩展的威胁狩猎** - **抑制噪声的复合检测** - **基线事实 → 强化 → 置信度评分** - **包含内嵌分析师指令的 SOC 就绪输出** 这是**以攻击架构为先的检测工程**，专为真实环境构建。 ## 我能立即交付什么 ### 生产就绪的复合检测 旨在抵御以下情况的规则设计： - 攻击者技术的演变 - Living-off-the-land 滥用 - 企业背景噪声 - 混合云 + 端点的复杂性 每个检测包括： - 最小事实锚点 - 强化关联 - 组织流行度评分 - 噪声抑制门槛 - MITRE 对齐 - 面向分析师的 HuntingDirectives ## 检测工程框架（核心理念） ### 1. 最小事实（基线锚点） 每条规则都始于一个不可避免的单一行为事件： - 注册表持久化写入 - 由 `services.exe` 执行的服务 - OAuth 同意授权 - 命名管道 C2 偏差 - TaskCache 产物创建 这可以防止脆弱的“字符串匹配”逻辑。 ### 2. 强化（收敛层） 信号只有在收敛时才会变为高置信度： - 可疑执行 + 入站 SMB - 自动运行写入 + 危险原语 - 任务执行 + TaskCache 产物 - 命名管道 + 服务创建关联 强化**并不重新定义事实** —— 它只是加强事实。 ### 3. 噪声抑制（企业现实） 规则专为运营环境设计： - 安全供应商 + 安全路径抑制 - 安装程序/更新程序抑制 - 基线进程排除 - 组织流行度稀有度加权 噪声在结构上得到控制，而不是通过无休止的允许列表。 ### 4. 置信度评分（优先级排序） 每次狩猎都会输出一个严重性加权分数： - 稀有行为 = 更高优先级 - 广泛流行度 = 可能是管理员/工具 - 收敛的执行链 = 关键 评分被用作**分流乘数**，而不是触发器。 ### 5. SOC 就绪的分析师指令 每条规则都包含内嵌指导： - 这可能代表什么 - 立即的调查切入点 - 遏制优先级 - 爆炸半径扩展逻辑 没有分析师行动的检测是不完整的。 ## 当前覆盖范围（第一层企业攻击生态系统示例路线图） **此为示例数据 - 仓库包含额外规则、完整路线图及三层体系** | 生态系统 | 最小事实传感器 | 状态 | 成熟度 | |----------|----------------|------|----------| | 注册表持久化 | Run/RunOnce ValueSet | ✅ 已测试 | 高 | | 注册表劫持 (COM/IFEO/AppInit) | 执行流拦截 | ✅ 已测试 | 中 | | 计划任务 (CLI) | `schtasks.exe /create` 事实 | ✅ 已测试 | 高 | | 计划任务 (静默 TaskCache) | TaskCache 注册表事实 | ⚠️ 已调优 | 中 | | SMB + 服务横向移动 | `services.exe` 衍生 + SMB 入站 | ✅ Empire 验证 | 高 | | SMB + 计划任务执行 (Cousin 规则) | `svchost(Schedule)` 衍生 + 产物 | ⚠️ POC | 中 | | 凭证访问 (LSASS) | 转储原语 / 访问事实 | ✅ 已测试 | 中 | | NTDS / SAM 提取 | Hive/NTDS 交互事实 | ✅ 已测试| 中 | | OAuth 同意滥用 | 范围授权 + 基线偏差 | ✅ 强 | 高 | | 命名管道 C2 + 横向关联 | 管道稀有度 + SMB + 服务收敛 | ⚠️ 高级 POC | 中 | ## 仓库结构 ### ADX 测试的 Composite Rules **基于框架的检测逻辑** - `ADX-Tested-Composite-Threat-Hunting-Rules/` ### 攻击生态系统 POC 待扩展的实验性链： - `Attack-Ecosystems-and-POC/` ### 威胁建模 + SOP 逻辑 行为优先的工程文档： - `THREAT-MODELLING-SOP-Behavioural-Patch-Resistant-TTPs-/` ## 规则输出示例（SOC 就绪） 复合狩猎不仅仅是告警 —— 它是解释： - 攻击类别 - 执行链 - 置信度级别 - 分析师后续行动 示例指令： ## 为什么这很重要 大多数 SOC 环境饱受以下困扰： - 浅层的 IOC 规则 - 嘈杂的不可能旅行告警 - 过度允许列表化 - 无法在真实攻击者行为下存活的低保真检测 我的重点是构建： ## 我契合的角色 - 高级威胁猎人 - 检测工程师 (KQL + 行为复合) - SOC 专家 (高级主动检测) - 威胁情报 → 检测转换 ## 联系方式 / 可用性 常驻英国。立即可用于： - 威胁狩猎交付 - 检测规则工程 - Sentinel/MDE 调优 + 项目提升 - 混合企业攻击覆盖 ## 联系方式 **GitHub:** https://github.com/azdabat **Email:** azdabat193@gmail.com **位置:** 英国 (United Kingdom)

“将对手行为转化为可度量的防御深度。”

标签：Cloudflare, Defender for Endpoint, EDR, MDE, Microsoft Sentinel, MITRE ATT&CK, PE 加载器, 企业安全, 哨兵, 威胁情报, 安全运营中心, 开发者工具, 攻击链分析, 权限维持检测, 混合云安全, 知识库安全, 网络信息收集, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 误报抑制, 防御规避检测, 隐私保护, 高级威胁检测