0xTT-byte/elk-sigma-detection-lab

# 检测工程实验室 该检测工程实验室使用 ELK Stack 和 Sigma 规则构建，旨在检测 Linux 系统上的凭据访问活动。 ## 项目概述 本项目演示了如何使用 ELK Stack 构建基本的 Detection-as-Code 流水线。日志从 Linux 系统收集，通过 Filebeat 传输到 Elasticsearch，并在 Kibana 中进行分析，通过检测规则识别模拟的凭据访问攻击。 该实验室的目标是演示如何在受控环境中对安全检测进行工程化、测试和验证。 ## 使用的技术 ELK Stack (Elasticsearch, Logstash, Kibana) Filebeat Docker Sigma Rules Lucene Queries ## 攻击模拟 该实验室模拟了 Linux 系统上的凭据访问攻击。攻击产生的日志由检测流水线收集和分析。 映射到 MITRE ATT&CK 框架的技术： 凭据转储 (T1003) ## 检测逻辑 使用 Sigma 规则来描述检测逻辑。 该规则被转换为 Lucene 查询，并作为检测规则部署在 Kibana 中。 当执行模拟攻击时，该规则成功检测到了该活动。 结果： 检测规则状态：已启用 执行结果：成功 成功率：100% ## 架构 Linux System → Filebeat → Elasticsearch → Kibana Detection Rule ## 截图 展示正常工作的检测规则和警报结果的截图位于 `screenshots` 文件夹中。 示例包括： Kibana 检测规则配置 Kibana 中触发的警报 Docker 中运行的 ELK stack 模拟攻击的日志证据 ## 学习目标 构建功能性的检测工程实验室 理解如何使用 Sigma 规则进行检测逻辑分析 学习如何在 ELK 中摄取和分析日志 模拟攻击并验证检测规则 ## 未来改进 自动化 Sigma 到 ELK 的规则转换 添加更多来自 MITRE ATT&CK 框架的攻击模拟 集成警报和自动响应 ## 作者 Omar Fattouh 网络安全工程师

标签：AMSI绕过, Cloudflare, Docker, Elasticsearch, ELK Stack, Filebeat, Lucene查询, MITRE ATT&CK, Sigma规则, T1003, TGT, 威胁检测, 安全运营, 安全防御评估, 实验环境, 扫描框架, 攻防演练, 检测即代码, 目标导入, 请求拦截