SR7sagar/Detection-Engineering-Portfolio

# 🛡 检测工程作品集 ## 👤 专业简介 专注于检测工程、基于威胁的分析以及云原生 SOC 架构的安全工程师。 专长领域： - 行为检测设计（基于关联的逻辑） - 对齐 MITRE ATT&CK 的威胁建模 - Azure Sentinel 分析工程 - 自定义遥测数据摄取 (DCE + DCR) - SOAR 自动化设计 (Logic Apps) - Azure IAM 和服务主体角色范围界定 - 高性价比的云安全架构 本仓库记录了与结构化威胁建模和真实 SOC 运维对齐的生产级检测工程实现。 展示了以下能力： - 行为检测工程 - 基于关联的分析 (KQL) - 自定义日志摄取 (Azure Logs Ingestion API) - Microsoft Sentinel 分析规则 - 使用 Logic Apps 的 SOAR 自动化 - Azure IAM 故障排查 - 成本感知的云架构设计 # 🚀 精选项目：端到端 SOC 实验室 (Azure Sentinel) 一个完整的云原生检测流水线，包括摄取、检测、事件创建和自动富化。 📂 查看完整实现： ➡️ [Azure Sentinel SOC 实验室](./soc-lab/README.md) ### 展示的关键能力 ✔ 自定义数据收集端点 (DCE) ✔ 数据收集规则 (DCR) 工程 ✔ Logs Ingestion API 验证 (HTTP 204) ✔ 基于关联的暴力破解检测 ✔ 计划分析规则部署 ✔ 用于调查图的实体映射 ✔ 自动化规则（事件创建触发器） ✔ Logic App Playbook 集成 ✔ IAM 权限范围界定 & 服务主体角色分配 ✔ 检测覆盖矩阵（对齐 MITRE） ✔ 运维指标与可靠性分析 此项目体现了超越静态检测示例的生产级 SOC 工程。 # 📂 检测工程项目 ## 1️⃣ 认证滥用 – 多次失败后紧跟成功 利用 Windows 认证遥测数据检测暴力破解和密码喷洒行为。 - 关联逻辑 (4625 → 4624) - 基于阈值的聚合 - IP + 账户关联 - MITRE ATT&CK: T1110, T1078 # 项目文件： 项目结构： ``` detections/ │ ├── authentication_multiple_failures_then_success.yml ├── authentication_multiple_failures_then_success_investigation.md └── README.md ``` # 📌 调查与检测方法 每个检测项目包含： - 行为逻辑解释 - 检测方法论 - MITRE ATT&CK 映射 - 调查指南 - 调优与验证考量 这确保了检测不仅是基于规则的，而且在 SOC 环境中具有运维可操作性。 # 📈 作品集重点 本作品集强调： - 检测工程优于警报数量 - 关联逻辑优于单事件匹配 - 自动化 & SOAR 集成 - 云原生架构 - IAM 和运维故障排查 - 威胁覆盖感知 # 🧠 工程理念 有效的检测工程需要： - 理解攻击者行为 - 建模现实的检测逻辑 - 验证摄取流水线 - 确保自动化可靠性 - 设计高性价比的架构 本仓库反映了应用工程原则，而非理论示例。 ## 技术博客 我在一篇技术文章中记录了此 SOC 检测工程项目的完整实现。 🔗 **在 Medium 上阅读完整文章：** [使用 Microsoft Sentinel 构建云原生 SOC 检测流水线](https://medium.com/@sagarsina58/building-a-cloud-native-soc-detection-pipeline-with-microsoft-sentinel-from-log-ingestion-to-9b29e21acf74) # 作者 Sagar Timalsina

标签：Azure Sentinel, Cloudflare, KQL, Kusto查询语言, Logic Apps, Microsoft Defender, MITRE ATT&CK, SOAR, SOC调查, 免杀技术, 关联分析, 威胁分析, 威胁建模, 安全实验室, 安全架构, 安全组合投资, 安全运营中心, 数据收集规则, 日志摄取, 暴力破解检测, 端到端安全, 红队行动, 网络映射, 自动化侦查工具, 自动化响应, 行为检测, 身份与访问管理