riverdoggo/Detection_Engerniring_Course

# 检测工程与云安全架构 ## 课程概述 本课程是一门以实战为导向、设计驱动的课程，专注于云环境下的**现代检测工程**。 课程不强调工具使用或仪表盘交互，而是教授学生如何**像检测工程师一样思考**：从攻击者行为出发进行推理，将其映射到遥测数据，设计高信号检测，并构建具备自动化能力的安全系统。 主要关注环境是 **Microsoft Azure**，重点在于**控制平面滥用**、**告警摄取**以及 **SOC-as-Code 原则**。本课程刻意避免依赖实时云订阅，而是基于**文档化的遥测契约和威胁模型**来教授检测设计，这模拟了现实世界中检测工程团队的运作方式。 ## 课程最终目标 课程结束时，学生将能够： - 设计一套**完整的云检测策略**，涵盖身份滥用、网络暴露和高价值资源篡改 - 构建一个**独立于供应商的告警摄取管道**，能够接收、验证、去重并存储安全告警 - 将检测映射到 **MITRE ATT&CK**，并针对真实的云攻击杀伤链进行验证 - 产出一个**达到作品集级别的 Git 仓库**，记录检测规则、严重性模型、富化策略和运营思路 - 培养从*日志分析*转型为**检测工程和安全架构**所需的思维模式 本课程为学生胜任以下角色做好准备： - 具有云专业知识的 SOC 分析师 - 初级检测工程师职位 - 云安全工程实习 - 高级事件响应和威胁检测工作 ## 每周课程分解 ## 第 1 周 — KQL 基础与检测思维 **重点：** 理解原始遥测数据如何转化为信号。 **核心主题：** - Kusto Query Language (KQL) 基础 - 基于管道的查询思维 - 过滤、投影、聚合 - 性能感知查询 - 区分分析查询与检测查询 **学习成果：** 学生将学习如何将海量遥测数据塑造成有意义的信号，并理解检测工程关乎**意图和信号质量**，而不仅仅是查询数据。 ## 第 2 周 — Azure 控制平面遥测 **重点：** 理解云安全信号的来源。 **核心主题：** - Azure Monitor 架构 - 诊断设置和数据收集 - AzureActivity 作为 Tier-0 遥测数据 - 控制平面与数据平面事件 - 高风险管理操作 **学习成果：** 学生将学习云攻击如何在**不触及端点**的情况下发生，以及为何控制平面监控对云安全至关重要。 ## 第 3 周 — 告警、Webhooks 与 SOC-as-Code 基础 **重点：** 连接检测与自动化。 **核心主题：** - Azure Monitor 告警模型 - 面向告警的 KQL 设计 - Webhook 负载分析 - 构建基于 FastAPI 的告警接收器 - 共享密钥认证 - 去重与速率限制 - 防御性摄取设计 **学习成果：** 学生将构建一个**真实的告警摄取管道**，能够接收并安全处理安全告警，构成 SOC-as-Code 架构的骨干。 ## 第 4 周 — Azure 控制平面检测策略 **重点：** 针对真实云攻击设计高信号检测。 **核心主题：** - IAM 权限提升（RBAC 滥用） - Network Security Group (NSG) 暴露 - Key Vault 和高价值资源保护 - 严重性建模和告警治理 - 告警富化与 MITRE ATT&CK 对齐 - 杀伤链验证和覆盖率分析 **学习成果：** 学生将为 Azure 控制平面滥用设计一套**连贯的、威胁驱动的检测策略**，并根据真实的攻击者行为进行验证。 ## 第 5 周 — 端点遥测与基于主机的检测 **重点：** 从云配置滥用转向主机级可见性。 **核心主题：** - 端点遥测基础 - Sysmon 部署与配置 - 进程创建、父子关系 - Living-off-the-Land Binary (LOLBins) 检测 - 凭据窃取和持久化信号 **学习成果：** 学生将学习如何利用结构化端点遥测数据，检测虚拟机内部的攻击者活动。 ## 第 6 周 — 网络遥测与横向移动 **重点：** 检测不依赖恶意软件的移动和数据渗出。 **核心主题：** - NSG Flow Logs - 基于网络的检测概念 - 端口扫描和暴力破解模式 - 东西向流量分析 - 早期数据渗出指标 **学习成果：** 学生将检测范围从配置更改扩展到**网络行为**，从而实现对云技术栈的全面可见性。 ## 第 7 周 — SOC 自动化与可视化 **重点：** 检测运维化。 **核心主题：** - Microsoft Sentinel 分析规则 - 自动化规则和 Playbook - Workbook 和仪表盘 - SOC 工作流优化 - 检测生命周期管理 **学习成果：** 学生将学习如何在真实的 SOC 环境中部署、维护和可视化检测。 ## 第 8 周 — 作品集定稿与职业准备 **重点：** 将技术成果转化为职业资产。 **核心主题：** - 文档润色 - 检测验证 - Git 仓库组织 - 向非技术利益相关者解释检测内容 - 职业定位与面试准备 **学习成果：** 学生毕业时将拥有一套**完整、经得起推敲的检测工程作品集**，展示技术技能和安全推理能力。 ## 总结声明 本课程旨在培养**安全思考者**，而非工具操作员。 它旨在培养理解攻击者在云环境中行为模式，并懂得如何设计系统以实现早期、可靠且可扩展检测的**安全思考者**。 全课程强调： - 信号优于噪音 - 架构优于仪表盘 - 推理优于记忆 这反映了现实世界中的检测工程团队在现代云安全环境中的运作方式。

标签：AMSI绕过, Cloudflare, Git 仓库管理, KQL, Kubernetes 安全, Kusto 查询语言, Microsoft Azure, MITRE ATT&CK, SOC-as-Code, StruQ, 告警处理, 威胁检测, 安全代码化, 安全思维, 安全架构, 安全运营中心, 控制平面安全, 攻击模拟, 模型鲁棒性, 求职技能, 网络安全研究, 网络安全课程, 网络映射, 身份安全, 驱动签名利用