HrushiCyber/windows-detection-engineering-lab
GitHub: HrushiCyber/windows-detection-engineering-lab
Windows 端点检测工程知识库,系统映射攻击技术、端点遥测与检测逻辑,提供多平台 SIEM 查询示例和威胁狩猎指南。
Stars: 0 | Forks: 0
# Windows 检测工程实验
本仓库记录了现代安全运营中心 (SOC) 中使用的实用**端点检测工程技术**。
目标是映射**攻击者技术 (attacker tradecraft) → 端点遥测 → 检测逻辑**。
## 关注领域
• Windows 端点遥测
• 行为检测
• 威胁狩猎 Playbook
• 检测工程方法论
• SIEM 查询示例
## 遥测源
本仓库中的检测依赖于通用的端点遥测:
* Windows Security Event Logs
* Sysmon
* EDR 进程遥测
* 网络遥测
## SIEM 查询示例
提供的查询适用于:
* Microsoft Sentinel (KQL)
* Splunk (SPL)
* Elastic Security (EQL)
## 检测覆盖范围
凭证访问
执行
持久化
横向移动
## 仓库结构
```
detections/ Detection writeups
queries/ SIEM queries
telemetry_maps/ Endpoint telemetry reference
threat_hunting_playbooks/ Threat hunting guides
detection_engineering_notes/ Detection methodology
```
## 目的
本仓库展示了以下方面的实用技能:
* 检测工程
* 端点遥测分析
* 威胁狩猎
* SOC 调查工作流
## 免责声明
本仓库中描述的所有技术仅用于**防御性安全研究和检测开发**。
标签:Conpot, EDR遥测, Elastic Security, EQL, KQL, Microsoft Sentinel, PE 加载器, Ruby, SIEM查询, SPL, Sysmon, Windows安全, 安全运营中心, 攻击映射, 知识库, 端点安全, 网络安全, 网络映射, 行为检测, 补丁管理, 防御性安全, 隐私保护