logtide/detection-engineering

# 检测工程 Sigma 规则 + 调优笔记（仅限防御用途）。 ## 这是什么 这是一个不断扩充的**通用、可移植检测**集合，重点关注： - 清晰、可读的检测逻辑 - 现实的误报分析 - 可操作的调优指导 - ATT&CK 技术映射 所有内容均为防御性质。不包含利用步骤、客户数据或机密信息。 ## ATT&CK 覆盖范围 | 规则 | 战术 (Tactic) | 技术 (Technique) | 严重程度 (Severity) | |------|--------|-----------|----------| | Office spawns script host / LOLBins | Execution | T1059 | Medium | | PowerShell EncodedCommand | Defense Evasion | T1027 | Medium | | Suspicious scheduled task creation | Persistence | T1053.005 | Medium | | LSASS credential dumping | Credential Access | T1003.001 | High | | Post-exploitation recon commands | Discovery | T1082, T1016, T1069 | Low | | Registry Run key modification | Persistence | T1547.001 | Medium | | WMI command execution | Lateral Movement | T1047 | Medium | | CertUtil download cradle | C2 / Defense Evasion | T1105, T1140 | High | ## 目录结构 ``` sigma/windows/ # Sigma rules for Windows telemetry notes/ # Tuning notes — one per rule ``` ## 如何使用 1. 在 `sigma/windows/` 中选择一个规则 2. 阅读 `notes/` 中对应的笔记，了解意图、误报和调优方法 3. 使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 将 Sigma 转换为您的 SIEM 格式： sigma convert -t splunk sigma/windows/proc_creation_susp_schtasks_creation.yml sigma convert -t microsoft365defender sigma/windows/proc_creation_susp_schtasks_creation.yml 4. 基于已知的正常活动进行验证，并根据调优笔记调整允许列表 (allowlists) ## 约定 - 文件名：`proc_creation__.yml` - 笔记与规则共享相同的基本名称 - 规则与环境无关；调优内容位于笔记中 ## 主题 `sigma` `detection-engineering` `mitre-attack` `blue-team` `siem` `threat-detection` `windows` `dfir`

标签：AMSI绕过, Cloudflare, DNS 反向解析, MITRE ATT&CK, Reconnaissance, RFI远程文件包含, Sigma 规则, Windows 安全, YAML, 后渗透, 域名分析, 威胁检测, 子域枚举, 安全库, 安全运营, 扫描框架, 数字取证, 无线安全, 私有化部署, 网络信息收集, 网络安全, 自动化脚本, 规则调优, 误报分析, 防御规避, 隐私保护