duy-redteam-labs/detection-engineering-lab
GitHub: duy-redteam-labs/detection-engineering-lab
一个检测工程实验框架,帮助安全团队在实验室环境中构建从日志采集、规则编写到测试验证和误报调优的完整检测能力闭环。
Stars: 0 | Forks: 0
# 检测工程实验室(规则 + 调优)
## 概述
创建实验室遥测数据并编写检测规则:
- Windows Event Logs / Sysmon
- SIEM 规则(Sigma/KQL/SPL,视技术栈而定)
- 测试用例 + 误报调优
## 范围(仅限实验室)
仅在您自己的实验室中生成事件。
## 技术栈
- Sysmon(可选但推荐)
- Wazuh/ELK/Splunk(任选其一)
- 规则 + 测试
## 交付物
- 规则:scripts/ 或 docs/
- 测试用例:tests/
- 调优报告:docs/reports/
## 状态
- [ ] 日志采集
- [ ] 基准事件
- [ ] 规则
- [ ] 测试用例
- [ ] 调优报告
标签:AMSI绕过, ELK Stack, KQL, PB级数据处理, SIEM规则, Sigma规则, SPL, Sysmon, Wazuh, Windows事件日志, 威胁检测, 安全实验室, 安全运维, 数据遥测, 目标导入, 误报调优, 防御监测