C-E-S-3/detection-engineering

# 检测工程 Splunk 检测规则集合，按 MITRE ATT&CK 战术组织，包含风险评分、威胁行为者映射以及 Lockheed Martin Kill Chain 对齐。 ## 仓库结构 ``` CLAUDE.md # Guide for adding new detections detections/ ├── _template.md # Detection file template ├── initial_access/ # TA0001 - Phishing, SEO poisoning, drive-by ├── execution/ # TA0002 - PowerShell, WMI, scripting, LOLBAS ├── persistence/ # TA0003 - Scheduled tasks, registry ├── defense_evasion/ # TA0005 - Rundll32, DLL sideloading, obfuscation ├── credential_access/ # TA0006 - Kerberos attacks, credential dumping ├── lateral_movement/ # TA0008 - SMB/WMI exec, admin shares ├── command_and_control/ # TA0011 - C2 beaconing, DNS, WordPress C2 ├── collection/ # TA0009 - Cryptocurrency targeting └── impact/ # TA0040 - Ransomware, data destruction threat_intel/ └── gootloader_ttp_analysis.md # Gootloader full kill chain TTP analysis ``` ## 快速入门 要添加新的检测规则，请参阅 [CLAUDE.md](CLAUDE.md) 获取完整指南。 快速步骤： 1. 将 `detections/_template.md` 复制到相应的类别文件夹中 2. 填写描述、MITRE 映射、Kill Chain 阶段和 SPL 查询 3. 使用新的检测规则更新类别的 `README.md` ## 威胁行为者覆盖范围 | 威胁行为者 | 类型 | 检测数 | 关键技术 | |-------------|------|------------|----------------| | [Gootloader / UNC2565](https://attack.mitre.org/software/S1138/) | 恶意软件加载器 | 13 | SEO 投毒、JS 执行、注册表填充、无文件 PowerShell、HTTPS C2 | | [Lazarus Group (HIDDEN COBRA)](https://attack.mitre.org/groups/G0032/) | 国家级 APT (DPRK) | 11 | 鱼叉式网络钓鱼、LOLBAS、DLL 旁加载、DGA、加密货币盗窃 | | [Medusa Ransomware](https://attack.mitre.org/software/S1131/) | 勒索软件操作者 | 2 | Invoke-SMBExec/WMIExec 横向移动、凭据转储 | ## 检测类别 | 类别 | 数量 | 描述 | |----------|-------|-------------| | [Initial Access](detections/initial_access/) | 3 | SEO 投毒下载、JS 文件创建、O365 鱼叉式网络钓鱼 | | [Execution](detections/execution/) | 9 | PowerShell、WMI、wscript、编码命令、进程链 | | [Persistence](detections/persistence/) | 2 | 注册表填充、计划任务创建 | | [Defense Evasion](detections/defense_evasion/) | 5 | RunDLL 滥用、LOLBAS、DLL 旁加载、代理执行 | | [Command and Control](detections/command_and_control/) | 6 | HTTPS 信标、DNS 异常、WordPress C2、DGA | | [Lateral Movement](detections/lateral_movement/) | 2 | SMB/WMI 执行、管理共享访问、凭据转储 | | [Collection](detections/collection/) | 1 | 加密货币钱包/交易所定向攻击 | | [Credential Access](detections/credential_access/) | 14 | Kerberos 工具指纹识别、Kerberoasting、AS-REP Roasting、Golden/Silver Ticket、OverPass-the-Hash、ADCS 滥用、暴力破解、加密降级 | | [Impact](detections/impact/) | 0 | (用于未来检测的占位符) | ## 数据源 检测规则使用以下 Splunk ES 数据模型和源宏： | 数据源 | 类型 | 适用范围 | |------------|------|---------| | `Endpoint.Processes` | ES 数据模型 | 进程执行、命令行、父子进程链 | | `Endpoint.Filesystem` | ES 数据模型 | 文件创建和修改事件 | | `Endpoint.Registry` | ES 数据模型 | 注册表键/值修改 | | `Network_Traffic.All_Traffic` | ES 数据模型 | 防火墙和网络连接数据 | | `Network_Resolution.DNS` | ES 数据模型 | DNS 查询和响应数据 | | `Web.Web` | ES 数据模型 | HTTP/HTTPS 请求数据 | | `` `crowdstrike` `` | 源宏 | CrowdStrike EDR 原始事件 | | `` `o365` `` | 源宏 | Office 365 管理活动 | | `` `fortigate` `` | 源宏 | Fortigate 防火墙日志 | | `` `infoblox_dns` `` | 源宏 | Infoblox DNS 日志 | | `` `zscaler_dns` `` | 源宏 | Zscaler DNS 日志 | | `` `wineventlog_security` `` | 源宏 | Windows 安全事件日志 (域控制器) |

标签：APT攻击, APT检测, Cloudflare, DAST, Gootloader, Lazarus, MITRE ATT&CK, 凭证获取, 初始访问, 命令与控制, 嗅探欺骗, 威胁情报, 安全规则库, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 杀伤链模型, 权限维持, 横向移动, 私有化部署, 编程规范, 网络安全, 网络杀伤链, 防御规避, 隐私保护