Popoo2020/Detection-Engineering-Playbook

# 检测工程手册 这是一个包含 SIEM 检测规则、狩猎查询和 Playbook 的综合库，专为 **Microsoft Sentinel**、**Splunk**、**IBM QRadar** 以及通用的 Sigma/YARA 格式策划。每项检测都映射到 MITRE ATT&CK 战术和技术，并附有预期覆盖范围、测试数据和调优建议的文档。 ## 概述 现代安全运营依赖于高保真检测和快速分类。该仓库整合了主流 SIEM 平台的现成查询，并包含转换为 Sigma 和 YARA 格式的内容。将这些工件用作您检测工程实践的起点，并根据您的环境进行调整。 ## 仓库结构 - **kql/** – 用于 Microsoft Sentinel 的 K-Kusto Query Language (KQL) 检测和狩猎查询。 - **spl/** – Splunk Search Processing Language (SPL) 检测。 - **aql/** – IBM QRadar Ariel Query Language (AQL) 内容。 - **sigma/** - 标准化的 Sigma 规则，包含可编译为任何 SIEM 的 YAML 定义。 - **yara/** – 用于端点和内存扫描的 YARA 特征码。 - **use-cases-** – 人类可读的检测用例，包含目的、前置条件、预期误报源和调优说明。 - **docs/ATTA-K_MAPPING.md** – 所有包含规则的高级 MITRE ATT&CK 映射。 - **.github/workflows/** – 用于 Lint Sigma 规则并验证 YAML 格式的 CI pipeline。 ## 入门指南 1. 克隆此仓库。 2. 查看每个平台文件夹下的检测工件，并根据您的环境调整日志源标识符（例如：表名、索引）。 3. 参考 `use-cases` 文档以获取上下文和调优指导。 4. 使用提供的 ATT&CK 矩阵，针对相关战术确定检测覆盖范围的优先级。 ## 贡献 欢迎改进覆盖范围、准确性或文档的贡献。有关添加新规则或更新现有规则的指南，请参阅 `CONTRIBUTING.md`。确保每次提交包含： - 描述性的文件名和规则名称。 - 映射到适当的 ATT&CK 技术。 - 测试数据或模拟说明。 - 减少误报的调优建议。 ## 许可证 本项目根据 Apache 2.0 许可证授权。有关详细信息，请参阅 `LICENSE`。

标签：AMSI绕过, AQL, Cloudflare, Detection Engineering, FTP漏洞扫描, KQL, Microsoft Sentinel, MITRE ATT&CK, Python 实现, QRadar, Sigma Rules, SPL, YARA, 云资产可视化, 威胁检测, 安全编排, 用例库, 网络安全, 防御工程, 隐私保护