Abdullah0417/dfir-detection-engineering-portfolio

# DFIR / 检测工程作品集 涵盖 Microsoft Sentinel、Microsoft Entra ID、Windows 取证以及 AWS 检测/响应的实战 DFIR、检测工程、身份导向检测和云 SecOps 实验。 ## 作品集概览 - 7 个已完成的实验 - 2 个计划中的实验 - 可复用产出：KQL、分析导出、自动化、工作簿、时间线、IOC 包、Terraform、Athena SQL、Lambda 代码以及证据清单 ## 本作品集展示的内容 - 跨越端点、身份、SIEM 和云的检测工程、调查和响应工作流 - 适合公开、可供招聘方审查的实验文档及可复用的技术工件 ## 从这里开始 - [06 — Entra ID Detection Engineering + Gated Content Pipeline](labs/06-entra-id-detection-engineering-gated-content-pipeline/) 在 Sentinel 中进行身份导向的检测工程，包含 GitHub OIDC 验证、打包、审批关卡以及受控测试部署。 - [07 — AWS GuardDuty Detection + Response](labs/07-aws-guardduty-detection-response/) AWS 原生告警、发现结果留存、Athena 分类分析、Security Hub 透视以及独立的响应工作流。 - [04 — Endpoint Forensics Casework](labs/04-endpoint-forensics-casework/) 端点工件分类分析、时间线构建、IOC 打包，以及基于取证发现的 Sentinel 提升。 - [05 — Windows Memory Forensics + Cloud SecOps Loop](labs/05-memory-forensics-cloud-secops-loop/) 云环境约束下的内存分类分析、记录的 pivots，以及在 Sentinel 中完成从狩猎到响应的闭环。 ## 精选实验 | 实验 | 重点 | 状态 | |---|---|---| | [04 — Endpoint Forensics Casework](labs/04-endpoint-forensics-casework/) | 对 MFT 和 EVTX 工件进行分类分析，构建时间线，打包 IOC，并将发现提升为 Sentinel 内容 | ✅ 已完成 | | [05 — Windows Memory Forensics + Cloud SecOps Loop](labs/05-memory-forensics-cloud-secops-loop/) | 记录 Azure 内存采集约束，转向进程内存取证，并完成 Sentinel 狩猎到响应的闭环 | ✅ 已完成 | | [06 — Entra ID Detection Engineering + Gated Content Pipeline](labs/06-entra-id-detection-engineering-gated-content-pipeline/) | 验证 Entra 遥测，构建身份检测和分类分析内容，并验证一条带有关卡的 GitHub OIDC 验证/打包/测试部署路径到独立的 Sentinel 工作区 | ✅ 已完成 | | [07 — AWS GuardDuty Detection + Response](labs/07-aws-guardduty-detection-response/) | 构建 AWS 原生告警、发现结果留存、Athena 分类分析，以及 Security Hub 驱动的响应工作流 | ✅ 已完成 | ## 其他已完成的实验 | 实验 | 重点 | 状态 | |---|---|---| | [01 — Telemetry + SIEM Validation](labs/01-telemetry-siem-validation/) | 验证 AMA/DCR onboarding，并验证 Sentinel 中 Heartbeat、Sysmon 和 Security 事件的接入 | ✅ 已完成 | | [02 — Multi-Host Incident Reconstruction](labs/02-incident-reconstruction/) | 将跨主机活动关联到时间线，并将结果转化为检测、自动化和工作簿内容 | ✅ 已完成 | | [03 — Controls-to-Telemetry Audit](labs/03-controls-to-telemetry-audit/) | 测试哪些安全控制是可观测的，并通过验证查询和覆盖矩阵记录差距 | ✅ 已完成 | ## 计划中 / 下一步 | 实验 | 重点 | 状态 | |---|---|---| | 08 — Secure EKS AI Platform | 计划中的旗舰实验，涵盖 GitHub OIDC 部署、EKS Pod Identity、镜像签名强制执行、平台加固、运行时检测、AI 滥用遥测以及 Security Hub 响应 | 📋 计划中 | | 09 — AWS IAM + S3 Misconfiguration Response | 计划中的态势与修复实验，重点关注非预期访问、归因和控制验证 | 📋 计划中 | ## 核心技术栈 Microsoft Sentinel, Log Analytics, Microsoft Entra ID, AMA/DCR, Sysmon, Windows Security Events, KAPE, MFTECmd, EvtxECmd, Timeline Explorer, Volatility 3, GitHub Actions, GitHub OIDC, Azure Bicep, Terraform, GuardDuty, Security Hub, EventBridge, SNS, Lambda, Athena, S3, CloudTrail, IAM Access Analyzer, 以及 AWS Config。 ## 说明 - 原始证据不公开发布。本仓库仅包含截图、查询、导出、模板、笔记、清单和经脱敏处理的 IOC 材料。 - 会产生计费云服务的实验包含销毁或清理指导。 _最后更新：2026-03-18_

标签：AMSI绕过, AWS Athena, AWS GuardDuty, Azure Sentinel, C语言, DNS 反向解析, ECS, Entra ID, FTP漏洞扫描, HTTPS请求, IOC, IP 地址批量处理, KQL, M365, Microsoft Sentinel, SecList, SecOps, Terraform, Windows Defender, Windows取证, 云安全架构, 内存取证, 域环境安全, 威胁检测, 子域名变形, 安全产品组合, 安全编排, 安全运营, 扫描框架, 数字取证, 端点安全, 网络安全实验室, 网络安全审计, 网络调试, 自动化, 自动化脚本, 补丁管理, 身份安全, 项目化管理