junior10255/detection-engineering-portfolio
GitHub: junior10255/detection-engineering-portfolio
这是一个基于Sigma规则的检测工程组合,包含针对Windows环境的威胁狩猎案例及MITRE ATT&CK框架映射。
Stars: 0 | Forks: 0
# 🛡️ 检测工程组合
## 📊 执行摘要
- **规则总数:** 3
- **覆盖战术:** 3 / 14
- **覆盖的 MITRE 技术:** 3
- **实际密度:** 1.0 条规则/活动战术
- **平均质量:** 100.0%
- **平均置信度:** 37%
- **平均成熟度:** 40%
- **无效规则:** 0
- **忽略的重复规则:** 0
- **高影响:** 66.67% 的规则
## 📦 版本控制
| 版本 | 数量 |
|:---:|:---:|
| 1 | 3 |
## 🔬 热门 MITRE 技术
| MITRE 技术 | 出现次数 |
|:---|:---:|
| `T1490` | 1 |
| `T1021.006` | 1 |
| `T1547.001` | 1 |
## 📈 按战术划分的质量
| 战术 | 平均质量 |
|:---|:---:|
| Impact | 100.0% |
| Lateral Movement | 100.0% |
| Persistence | 100.0% |
## 🚨 覆盖缺口
- Reconnaissance
- Resource Development
- Initial Access
- Execution
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Collection
- Command And Control
- Exfiltration
## 📋 前 30 条最相关规则
| 级别 | 战术 | 规则 | 版本 | 质量 | 置信度 | 成熟度 | 链接 |
|:---:|:---|:---|:---:|:---:|:---:|:---:|:---:|
| 🟠 | Impact | `01_manipulating_shadow_copies_via_WMIC.yml` | 1 | 100.0% | 37% | 🟡 40 | [📄 查看](Sigma/impact/manipulacao_de_shadow_copies_via_wmic/01_manipulating_shadow_copies_via_WMIC.yml) |
| 🟠 | Lateral Movement | `01_proc_creation_win_wmic_lateral_movement_ip.yml` | 1 | 100.0% | 22% | 🟡 40 | [📄 查看](Sigma/lateral_movement/movimentacao_lateral_via_wmic_com_execucao_remota/01_proc_creation_win_wmic_lateral_movement_ip.yml) |
| 🟡 | Persistence | `01_persistence_via_run_registry_key.yml` | 1 | 100.0% | 53% | 🟡 40 | [📄 查看](Sigma/persistence/persistence_via_run_registry_key/01_persistence_via_run_registry_key.yml) |
*由 script.py v21.0 于 2026-04-13 23:47:46 生成*
标签:CIDR扫描, Cloudflare, MITRE ATT&CK, RFI远程文件包含, Windows 安全, WMIC, 威胁检测工程, 安全运营, 影子副本, 恶意行为检测, 扫描框架, 检测规则, 横向移动, 管理员页面发现, 编程规范, 网络资产发现, 身份安全, 防御策略