joanfx/detection-engineering-adversarial-emulation

# 检测工程实验室 ### 概述 本仓库是一个实时的安全运营与检测工程作品集。该实验室旨在模拟特定的 MITRE ATT&CK 技术，生成高保真的对手遥测数据，并从头（裸机）到 SIEM 告警构建自定义的检测逻辑。 ### 如何浏览本仓库 为避免冗余索引，本仓库直接按 MITRE ATT&CK 技术 ID 组织。 浏览根目录以查看特定的模拟攻击。每个技术文件夹都是一个独立的操作，包含： * 用于模拟对手行为的仿真脚本。 * 构建的检测规则（Sigma、Splunk SPL 或 Wazuh XML）。 * 原始 SIEM 验证工件、JSON 日志和遥测证据。 ### 基础设施与遥测管道 本实验室在分布式虚拟化网络架构上运行，以模拟真实的企业终端环境。 * **SIEM / 搜索头（Search Head）：** Ubuntu Server（Splunk Enterprise v10.x / Wazuh v4.x） * **目标终端：** Windows 11 Enterprise * **日志转发器：** Splunk Universal Forwarder * **遥测来源：** * Sysmon（进程创建、进程访问、网络连接） * Windows 安全事件日志（事件 ID 4688） * PowerShell 操作日志

标签：AI合规, AMSI绕过, APT模拟, Cloudflare, EDR, MITRE ATT&CK, Sigma规则, SPL查询, Sysmon, Wazuh, Windows 11, 企业安全, 威胁检测, 安全实验室, 安全运营, 扫描框架, 日志转发, 日志遥测, 混合加密, 目标导入, 端点检测与响应, 网络资产管理, 脆弱性评估, 脱壳工具, 蓝队防御