v1nvn/enhansome-detection-engineering

# 精选检测工程 [](https://awesome.re) 及其星标 检测工程是网络安全防御计划的一项战术职能，涉及设计、实施和运营检测控制措施，旨在主动识别恶意或未经授权的活动，以免其对个人或组织产生负面影响。 欢迎所有贡献，请在提交 pull request 之前仔细查阅 [贡献指南](https://github.com/infosecB/awesome-detection-engineering/blob/main/contributing.md) ⭐ 1,151 | 🐛 0 | 📅 2025-12-19。 ## 目录 * [概念与框架](#concepts--frameworks) * [检测内容与签名](#detection-content--signatures) * [日志、监控与数据源](#logging-monitoring--data-sources) * [通用资源](#general-resources) ## 概念与框架 * [Alerting and Detection Strategies (ADS) Framework | Palantir](https://github.com/palantir/alerting-detection-strategy-framework) ⭐ 850 | 🐛 3 | 📅 2025-09-08 - 用于创建和记录有效检测内容的蓝图。 * [Synthetic Adversarial Log Objects (SALO) | Splunk](https://github.com/splunk/salo) ⭐ 87 | 🐛 2 | 🌐 Python | 📅 2024-01-11 - Synthetic Adversarial Log Objects (SALO) 是一个用于生成日志事件的框架，无需基础设施或触发日志事件的操作即可生成事件。 * [MITRE ATT\&CK](https://attack.mitre.org/) - 基于真实世界观察的对手战术、技术和程序的基础框架。 * [Detection Engineering Maturity Matrix | Kyle Bailey](https://detectionengineering.io) - 一个详细的矩阵，用作衡量组织检测工程计划整体成熟度的工具。 * [Detection Maturity Level (DML) Model | Ryan Stillions](http://ryanstillions.blogspot.com/2014/04/the-dml-model_21.html) - 定义并描述了组织威胁检测计划成熟度的 8 个不同级别。 * [The Pyramid of Pain | David J Bianco](http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html) - 一种用于描述各种入侵指标 分类及其在检测威胁行为者方面有效性的模型。 * [Cyber Kill Chain | Lockheed Martin](https://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html) - Lockheed Martin 的框架，概述了网络攻击中常见的 7 个阶段。 * [MaGMa (Management, Growth and Metrics & Assessment) Use Case Defintion Model](https://www.betaalvereniging.nl/wp-content/uploads/FI-ISAC-use-case-framework-verkorte-versie.pdf) - 一种以业务为中心的定义威胁检测用例的方法。 * [The Zen of Security Rules | Justin Ibarra](https://br0k3nlab.com/resources/zen-of-security-rules/) - 概述了 19 条格言，作为创建高质量检测内容的通用原则。 * [Blue-team-as-Code - the Spiral of Joy | Den Iuzvyk, Oleg Kolesnikov](https://sansorg.egnyte.com/dl/KTc16ldiqv) - Blue-Team-as-Code：来自真实世界红队检测自动化日志的经验教训。 * [Detection Development Lifecycle | Haider Dost et al.](https://medium.com/snowflake/detection-development-lifecycle-af166fffb3bc) - Snowflake 的检测开发生命周期实现。 * [Threat Detection Maturity Framework | Haider Dost of Snowflake](https://medium.com/snowflake/threat-detection-maturity-framework-23bbb74db2bc) - 用于衡量威胁检测计划成功与否的成熟度矩阵。 * [Elastic's Detection Engineering Behavior Maturity Model](https://www.elastic.co/security-labs/elastic-releases-debmm) - Elastic 用于衡量威胁检测计划成熟度的定性和定量方法。 * [Prioritizing Detection Engineering | Ryan McGeehan](https://medium.com/starting-up-security/prioritizing-detection-engineering-b60b46d55051) - 一位资深检测工程师概述了应如何从头构建检测工程计划。 * [Detection Engineering Field Manual | Zack Allen](https://www.detectionengineering.net/s/field-manual) - 一系列探讨检测工程各种基础组件的文章。 * [Open Threat Informed Detection Engineering aka OpenTide'](https://github.com/OpenTideHQ) - 由欧盟委员会创建并维护的一体化检测工程运营框架，旨在将您的 CTI 转化为可操作的检测覆盖图，将威胁向量与检测目标相结合，并从一个中央存储库管理您的整个检测库，该库配备检测即代码部署系统。OpenTide 格式旨在衡量和扩展检测覆盖范围，其规则部署引擎完全可扩展，并同时支持多个平台（利用所有技术功能和原生查询语言）。OpenTide 既可作为单个 DE 团队的主要框架在团队内部使用，也可作为通用格式跨 SOC 使用，以促进数据交换。 ## 检测内容与签名 * [Sigma Rules](https://github.com/Neo23x0/sigma) ⭐ 10,198 | 🐛 105 | 🌐 Python | 📅 2026-03-15 - Sigma 的即用型检测内容库。内容可以转换为适用于大多数 SIEM 的格式。 * [Elastic Detection Rules](https://github.com/elastic/detection-rules/tree/main/rules) ⭐ 2,522 | 🐛 200 | 🌐 Python | 📅 2026-03-14 - Elastic 原生为 Elastic SIEM 编写的检测规则。可以使用 Uncoder 轻松转换为其他 SIEM 使用。 * [KQL Advanced Hunting Queries & Analytics Rules](https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules) ⭐ 1,657 | 🐛 0 | 🌐 Python | 📅 2026-03-09 - 针对 Microsoft Defender for Endpoint、Defender For Identity 和 Defender For Cloud Apps 的端点检测和搜寻查询列表。 * [Splunk Security Content](https://github.com/splunk/security_content) ⭐ 1,584 | 🐛 22 | 🌐 Python | 📅 2026-03-14 - Splunk 的开源且经常更新的检测内容，可进行调整以用于其他工具。 * [Elastic Endpoint Behavioral Rules](https://github.com/elastic/protections-artifacts/tree/main/behavior/rules) ⭐ 1,384 | 🐛 8 | 🌐 YARA | 📅 2026-03-13 - Elastic 使用 EQL 原生为 Elastic 端点代理编写的端点行为（预防）规则。 * [Elastic Yara Signatures](https://github.com/elastic/protections-artifacts/tree/main/yara/rules) ⭐ 1,384 | 🐛 8 | 🌐 YARA | 📅 2026-03-13 - Elastic 的 YARA 签名，运行在 Elastic 端点代理上。 * [Elastic Endpoint Ransomware Artifact](https://github.com/elastic/protections-artifacts/tree/main/ransomware/artifact.lua) ⭐ 1,384 | 🐛 8 | 🌐 YARA | 📅 2026-03-13 - Elastic 的勒索软件工件，运行在 Elastic 端点代理上。 * [Chronicle (GCP) Detection Rules](https://github.com/chronicle/detection-rules) ⭐ 477 | 🐛 5 | 🌐 Python | 📅 2025-12-05 - Chronicle 原生为 Chronicle 平台编写的检测规则。 * [Panther Labs Detection Rules](https://github.com/panther-labs/panther-analysis/tree/master/rules) ⭐ 441 | 🐛 4 | 🌐 Python | 📅 2026-03-13 - Panther Lab 的原生检测规则。 * [Center for Threat Informed Defense Security Stack Mappings](https://github.com/center-for-threat-informed-defense/security-stack-mappings) ⚠️ Archived - 描述云计算平台（Azure、AWS）的内置检测功能及其与 MITRE ATT\&CK 框架的映射。 * [Google Cloud Security Analytics](https://github.com/GoogleCloudPlatform/security-analytics) ⚠️ Archived - 该存储库作为社区驱动的示例安全分析列表，用于审计云使用情况以及检测 Google Cloud 中数据和工作负载面临的威胁。 * [Anvilogic Detection Armory](https://github.com/anvilogic-forge/armory) ⭐ 116 | 🐛 0 | 📅 2025-09-18 - Anvilogic 的开源和公开可用的检测内容。 * [Detection Engineering with Splunk](https://github.com/west-wind/Threat-Hunting-With-Splunk) ⭐ 68 | 🐛 0 | 📅 2024-04-29 - 专门用于以 SPL 分享检测分析的 GitHub 仓库。 * [Exabeam Content Library](https://github.com/ExabeamLabs/Content-Library-CIM2) ⭐ 28 | 🐛 1 | 📅 2026-03-11 - Exabeam 的开箱即用检测内容，与 Exabeam Common Information Model 兼容。 * [TerraSigma](https://github.com/Khadinxc/TerraSigma) ⭐ 2 | 🐛 0 | 🌐 HCL | 📅 2026-03-08 - 包含所有转换为 Microsoft Sentinel Terraform Scheduled analytic 资源的 SIGMA 规则的存储库。该存储库按周计划运行以更新，并与最新版本的 SIGMA 规则存储库保持一致。规则已完成适当的实体映射，以确保存储库即插即用。 * [Sigma2KQL](https://github.com/Khadinxc/Sigma2KQL) ⭐ 1 | 🐛 0 | 🌐 Python | 📅 2026-03-04 - 包含所有转换为 KQL 的 SIGMA 规则的存储库，按周计划运行以更新并与最新版本的 SIGMA 规则存储库保持一致。 * [Rulehound](https://rulehound.com) - 公开可用和开源威胁检测规则集的索引。 * [MITRE Cyber Analytics Repository (CAR)](https://car.mitre.org) - MITRE 维护良好的检测内容库。 * [CAR Coverage Comparision](https://car.mitre.org/coverage/) - MITRE ATT\&CK 技术 ID 矩阵，以及指向可用 Splunk Security Content、Elastic detection rules、Sigma rules 和 CAR 内容的链接。 * [Sigma rule converter](https://sigconverter.io/) - 一种开源工具，可以将检测内容转换为适用于大多数 SIEM 的格式。 * [AttackRuleMap](https://attackrulemap.com) - 开源检测规则和原子测试的映射。 * [AWS GuardDuty Findings](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) - 所有 AWS GuardDuty Findings、其描述及相关数据源的列表。 * [GCP Security Command Center Findings](https://cloud.google.com/security-command-center/docs/concepts-security-sources#threats) - 所有 GCP Security Command Center Findings、其描述及相关数据源的列表。 * [Azure Defender for Cloud Security Alerts](https://docs.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference) - 所有 Azure Security for Cloud Alerts、其描述及相关数据源的列表。 * [Detections Digest | Sergey Polzunov](https://detections-digest.rulecheck.io) - 一个简报，重点介绍此处列出的许多流行检测内容来源的更新。 ## 日志、监控与数据源 * [Elastalert | Yelp](https://github.com/Yelp/elastalert) ⭐ 8,003 | 🐛 1,400 | 🌐 Python | 📅 2024-08-07 - ElastAlert 是一个简单的框架，用于对 Elasticsearch 中数据的异常、峰值或其他感兴趣的模式进行告警。 * [Loghub](https://github.com/logpai/loghub) ⭐ 2,594 | 🐛 2 | 📅 2026-03-14 - 开源且免费可用的安全数据源，用于研究和测试。 * [Linux auditd Detection Ruleset](https://github.com/Neo23x0/auditd/blob/master/audit.rules) ⭐ 1,775 | 🐛 50 | 📅 2025-11-27 - Linux auditd 规则集，可生成威胁检测用例所需的遥测数据。 * [Matano](https://github.com/matanolabs/matano) ⭐ 1,659 | 🐛 55 | 🌐 Rust | 📅 2025-01-08 - 开源的云原生安全湖平台（SIEM 替代方案），用于 AWS 上的威胁搜寻、Python 检测即代码 和事件响应 🦀。 * [Exabeam Common Information Model](https://github.com/ExabeamLabs/CIMLibrary) ⭐ 10 | 🐛 1 | 📅 2026-02-02 - Exabeam 的专有模型，用作规范化安全数据的框架。 * [Windows Logging Cheatsheets](https://www.malwarearchaeology.com/cheat-sheets) - 多份速查表概述了在不同粒度级别进行 Windows 事件日志记录的建议。 * [MITRE ATT\&CK Data Sources Blog Post](https://medium.com/mitre-attack/defining-attack-data-sources-part-i-4c39e581454f) - MITRE 描述了各种数据源以及它们与 MITRE ATT\&CK 框架中的 TTPs 的关系。 * [MITRE ATT\&CK Data Sources List](https://attack.mitre.org/datasources/) - 作为 v10 版本的一部分添加到 MITRE ATT\&CK 的数据源对象。 * [Splunk Common Information Model (CIM)](https://docs.splunk.com/Documentation/CIM/5.0.0/User/Overview) - Splunk 的专有模型，用作规范化安全数据的框架。 * [Elastic Common Schema](https://www.elastic.co/guide/en/ecs/current/ecs-getting-started.html) - Elastic 的专有模型，用作规范化安全数据的框架。 * [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/categories?extensions) - 一种开源安全数据源和事件模式。 * [Microsoft XDR Advanced Hunting Schema](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-schema-tables) 为了协助多表查询，您可以使用高级搜寻架构，其中包含包含事件信息以及有关设备、警报、身份和其他实体类型的详细信息的表和列。 ## 通用资源 * [Awesome Kubernetes (K8s) Threat Detection](https://github.com/jatrost/awesome-kubernetes-threat-detection) ⭐ 405 | 🐛 1 | 📅 2023-09-02 - 另一个专注于 Kubernetes (K8s) 威胁检测的 Awesome List。 * [Splunk ES Correlation Searches Best Practices | OpsTune](https://github.com/inodee/threathunting-spl/blob/master/Splunk%20ES%20Correlation%20Searches%20Best%20Practices%20v1.3.pdf) ⭐ 291 | 🐛 0 | 📅 2024-01-15 - 一份非常详细的指南，用于在 Splunk Enterprise Security 应用程序中制作高质量的检测内容。 * [Detection and Response Pipeline](https://github.com/0x4D31/detection-and-response-pipeline) ⭐ 290 | 🐛 0 | 📅 2024-02-05 - 检测和响应管道每个组件的工具列表，包含真实世界的示例。 * [ATT\&CK Navigator | MITRE](https://mitre-attack.github.io/attack-navigator/enterprise/) - MITRE 的开源工具，可用于跟踪检测覆盖率、可见性以及其他工作及其与 ATT\&CK 框架的关系。 * [Detection Engineering Weekly | Zack Allenhttps://detectionengineering.net) - 专注于检测工程新闻和操作指南的简报。 * [Detection Engineering Twitter List | Zack Allen](https://twitter.com/i/lists/1629936556298436608) - 检测工程思想领袖的 Twitter 列表。 * [DETT\&CT: MAPPING YOUR BLUE TEAM TO MITRE ATT\&CK™](https://www.mbsecure.nl/blog/2019/5/dettact-mapping-your-blue-team-to-mitre-attack) - 概述了一种针对 MITRE ATT\&CK 框架衡量安全数据可见性和检测覆盖率的方法论。 * [Living Off the Living Off the Land](https://lolol.farm) - “依靠土地生活” 的资源集合。 * [Detection at Scale Podcast | Jack Naglieri](https://podcasts.apple.com/us/podcast/detection-at-scale/id1582584270) - 专注于检测工程的播客，邀请了许多该领域的思想领袖。 * [Cloud Threat Landscape | Wiz](https://threats.wiz.io/all-techniques) - 一个专注于云检测工程的数据库，列出了已知曾入侵云环境的威胁行为者、他们武器库中的工具和技术，以及他们偏好的攻击目标技术。 * [How Google Does It: Making threat detection high-quality, scalable, and modern | Anton Chuvakin, Tim Nguyen](https://cloud.google.com/transform/how-google-does-it-modernizing-threat-detection) - Google 团队强调了构建高质量、可扩展和现代化威胁检测计划的 5 个关键原则。 * [SOCLabs](https://www.soc-labs.top/) - 一个面向蓝队和检测工程师的实验室，包含真实威胁数据并支持流行的 SIEM 查询语言，支持检测规则编写和威胁搜寻的动手学习和实践。

标签：adversary emulation, AMSI绕过, Awesome Lists, Cloudflare, MITRE ATT&CK, 可视化界面, 告警策略, 威胁检测, 安全成熟度模型, 安全控制, 安全运营, 恶意活动识别, 扫描框架, 数据源, 网络安全, 逆向工具, 隐私保护