dcrowder252/threat-hunting-detections
GitHub: dcrowder252/threat-hunting-detections
基于 MITRE ATT&CK 框架的威胁狩猎与检测工程作品集,提供跨主流安全平台的检测规则和狩猎调查文档。
Stars: 32 | Forks: 4
# 威胁狩猎与检测工程作品集


## 目录
- [威胁狩猎与检测工程作品集](#threat-hunting--detection-engineering-portfolio)
- [目录](#table-of-contents)
- [概述](#overview)
- [技术重点领域](#technical-focus-areas)
- [仓库结构](#repository-structure)
- [方法论](#methodology)
- [目的](#purpose)
- [联系方式](#contact)
## 概述
本仓库作为我的专业作品集,涵盖威胁狩猎、检测工程和攻击者行为分析。
包含内容:
- 与厂商无关的检测规则(Sigma)
- 特定平台的检测查询(Splunk, KQL, CrowdStrike)
- 记录在案的威胁狩猎调查
- 基于真实世界威胁报告的情报驱动狩猎
- 技术研究与检测方法论
本项目的目标是将真实世界的攻击者行为转化为跨企业安全平台的可操作检测逻辑。
## 技术重点领域
- 基于 MITRE ATT&CK 的检测工程
- 滥用 Living-off-the-land(LOLBin)的检测
- 凭据访问监控
- 持久化检测
- 横向移动分析
- 命令与控制(C2)行为检测
- 威胁情报到检测的转换
## 仓库结构
本项目被组织为模块化的检测工程领域:
- `sigma/` — 与厂商无关的检测规则
- `sigma/intel_hunts/` — 源自真实世界威胁情报报告的 Sigma 规则
- `hunts/` — 记录在案的威胁狩猎调查
- `hunts/intel_hunts/` — 直接基于威胁情报文章和安全通告构建的狩猎文档
- `research/` — 技术分析与威胁研究
- 为狩猎假设和检测开发提供支持的威胁研究和行为分析。
- `splunk/` — Splunk 特定的检测查询
- `splunk/intel_hunts/` — 源自真实世界威胁情报报告的 Splunk 查询
- `kql/` — Microsoft Sentinel / Defender 查询
- `kql/intel_hunts/` — 源自真实世界威胁情报报告的 KQL 查询
- `crowdstrike/` — CrowdStrike LogScale 查询
- `crowdstrike/intel_hunts/` — 源自真实世界威胁情报报告的 CrowdStrike LogScale 查询
每个文件夹都包含与检测工程工作流对齐的文档和工件。
## 方法论
我的工作流通常遵循以下流程:
**标准狩猎:**
研究 → 狩猎 → Sigma 检测 → (Splunk → CrowdStrike → KQL)
**情报狩猎:**
威胁情报报告 → 狩猎文档 → Sigma 检测 → (Splunk → CrowdStrike → KQL)
在可能的情况下,检测会:
- 映射到 MITRE ATT&CK 技术
- 针对真实遥测数据进行测试
- 跨多个平台进行转换
## 目的
本仓库展示了在以下方面的实际能力:
- 编写检测逻辑
- 调查可疑遥测数据
- 将威胁报告转化为可操作的检测
- 构建特定平台的安全内容
它既是一个技术作品集,也是未来专业咨询或产品开发的基础。
## 联系方式
Daniel Crowder - datello676@gmail.com
Huntsville, Alabama
威胁狩猎 | 检测工程
标签:Cloudflare, MITRE ATT&CK, Sigma规则, 目标导入