tdt1114/detection-engineering-portfolio

# 检测工程作品集 **通过动手实验工作和实际实施构建威胁检测能力** [](https://www.linkedin.com/in/tresean-tuggle-b36811138/) [](#project-catalog) [](#certifications--learning-path) ## 关于本作品集 本作品集展示了经过六个月高强度动手实验工作（2025年9月 - 2026年3月）所开发的端到端检测工程能力。 ### 心路历程 我带着一个明确的目标转型进入网络安全领域：成为一名检测工程师。与其被动地接受培训内容，我从零开始构建了一个完整的检测工程工作流，从端点遥测收集开始，经过 SIEM 摄取和告警开发，最终完成 SOC 风格的调查和 MITRE ATT&CK 映射的检测逻辑。 **时间线：** - **2025年9月：** 从零网络安全背景起步 - **2025年10月-12月：** 获得了 CompTIA A+、ISC2 CC 和 CompTIA Security+ 认证 - **2025年11月 - 2026年3月：** 构建了 8+ 个跨越多个平台和检测语言的检测工程实验室 - **目前：** 正在攻读 SC-200（Microsoft Security Operations Analyst）认证 ### 本作品集的独特之处 大多数网络安全作品集由孤立的 CTF 题解或认证学习笔记组成。本作品集展示了一个**连贯的检测工程工作流**： 1. **端点可见性** → 了解存在哪些遥测源以及如何收集它们 2. **SIEM 摄取** → 将数据大规模导入检测平台 3. **检测开发** → 编写识别恶意行为的检测逻辑 4. **MITRE ATT&CK 映射** → 将威胁情报转化为可操作的检测 5. **SOC 运营** → 对告警进行分类并区分真阳性与假阳性 6. **检测调优** → 通过阈值调整和基于上下文的验证来改善信噪比 每个项目都建立在前一个项目的基础上，展示了系统的技能进阶，而非随意的实验练习。 ## 核心能力 ### 检测工程 - 跨多种查询语言（Python、SPL、KQL、Sigma）开发检测逻辑 - 将检测映射到 MITRE ATT&CK 框架的技术和战术 - 调整检测阈值以优化信噪比 - 构建具有可配置严重性和响应动作的自动化告警规则 - 关联多个数据源的事件以实现高保真检测 ### SIEM 运营 - 将端点遥测数据摄取到云 SIEM 平台（Splunk Cloud、Microsoft Sentinel） - 配置数据连接器和 HTTP Event Collector (HEC) - 构建用于实时监控的安全仪表板和工作簿 - 编写用于日志分析和威胁猎杀的复杂查询 - 创建具有自动事件生成功能的计划分析规则 ### SOC 与事件响应 - 进行 SOC 风格的告警分类和调查 - 执行假阳性分析和检测优化 - 在结构化事件报告中记录调查结果 - 应用基于上下文的验证（父进程、用户上下文、主机角色） - 使用标准化框架传达技术发现 ### 端点遥测 - 部署和配置 Sysmon 以增强进程可见性 - 启用 Windows 安全审计（Event ID 4688、命令行日志记录） - 分析进程创建日志以发现可疑的执行模式 - 将进程执行与网络活动（DNS、HTTP）相关联 - 了解遥测盲区和数据源限制 ## 项目目录 ### 🔍 端点遥测与可见性 #### [Windows 端点遥测 - 第一阶段](https://github.com/tdt1114/Windows-Endpoint-Telemetry-I) **展示端点日志配置和 SIEM 摄取的基础实验室** - 安装并配置 Sysmon 以增强进程可见性 - 启用带有命令行日志记录的 Windows 安全 Event ID 4688 - 将进程创建遥测数据摄取到 Splunk Enterprise - 记录了实际场景中的故障排除（服务挂起、PID 锁定、Event Viewer 问题） **技能：** Sysmon 部署、Windows 审计、Splunk 摄取、PowerShell 验证 #### [Windows 端点遥测 - 第二阶段：SOC 分类](https://github.com/tdt1114/Windows-Endpoint-Telemetry-II-SOC-Triage) **包含云 SIEM 和 SOC 风格调查的扩展遥测实验室** - 通过 HTTP Event Collector (HEC) 将 Sysmon 和 Event ID 4688 日志摄取到 Splunk Cloud - 进行了 SOC 风格的告警分类和调查 - 执行了假阳性分析并记录了发现 - 构建了用于检测和分析的 SPL 查询 **技能：** Splunk Cloud、HEC 配置、SOC 运营、告警调查、SPL 查询开发 #### [进程-网络关联实验室](https://github.com/tdt1114/process-network-correlation-lab) **用于行为检测的多源事件关联** - 将 Windows 进程执行与 DNS 和网络活动相关联 - 分析了 Sysmon Event ID 1 与 DNS Client 日志之间的时间关系 - 演示了单个事件如何产生低置信度，但关联可以提高信号质量 - 将关联行为映射到 MITRE ATT&CK 技术（T1059.001, T1071.001, T1071.004） **技能：** 事件关联、行为分析、多源检测、调查推理 ### 🎯 MITRE ATT&CK 与检测逻辑 #### [MITRE ATT&CK 映射实验室](https://github.com/tdt1114/MITRE-mapping) **以分析师为核心的实验室，展示基于威胁情报的检测** - 分析了编码的 PowerShell 执行并映射到 T1059.001 - 为平台无关的检测逻辑创建了 Sigma 检测规则 - 记录了分析师关于技术映射适用性的推理 - 演示了基于上下文的验证（父进程、用户上下文、主机角色） **技能：** MITRE ATT&CK 框架、Sigma 规则编写、检测推理、编码 PowerShell 分析 ### 🛡️ SIEM 平台与检测开发 #### [Azure AD 登录分析器](https://github.com/tdt1114/azure-ad-signin-analyzer) **云身份威胁检测的基础项目** - 分析了 Azure AD 登录日志以发现认证异常 - 构建了针对暴力破解和凭证填充攻击的检测逻辑 - 扩展到 Python 和 KQL 检测实验室（见下方子项目） **技能：** Azure AD 日志分析、认证监控、云身份安全 #### [Python 检测实验室](https://github.com/tdt1114/azure-ad-signin-analyzer/tree/main/python-detection-lab) **使用 Python 的自动化检测流水线** - 构建了 4 脚本检测工作流：模拟 → 解析 → 检测 → 报告 - 模拟了针对 Azure AD 账户的暴力破解攻击 - 实现了可配置的告警阈值以减少假阳性 - 生成了包含建议操作的自动化事件报告 **技能：** Python 脚本编写、检测自动化、阈值调优、事件报告 #### [KQL 与 Microsoft Sentinel 实验室](https://github.com/tdt1114/azure-ad-signin-analyzer/tree/main/kql-sentinel-lab) **具有自动检测规则的云原生 SIEM** - 部署了 Microsoft Sentinel 并连接了 Entra ID Audit Logs - 编写了用于身份变更检测和权限提升的 KQL 查询 - 构建了映射到 MITRE ATT&CK Privilege Escalation 战术的自动化分析规则 - 创建了包含告警和事件实时仪表板的安全工作簿 - 通过分配 Global Reader 角色模拟了权限提升 **技能：** Microsoft Sentinel、KQL 查询语言、自动告警规则、MITRE ATT&CK 映射、工作簿创建 ### 📊 其他项目 #### [混合 Active Directory 实验室](https://github.com/tdt1114/hybrid-active-directory-lab) **企业身份基础设施部署与管理** - 在 Microsoft Azure 中部署了混合 Active Directory 环境 - 配置了域控制器（Windows Server 2022）和域工作站（Windows 10 Enterprise） - 执行了身份管理：通过 PowerShell 进行用户配置、安全组分配、委派管理 - 实施了用于密码策略和登录脚本的组策略（Group Policy） - 验证了认证、授权和基于角色的访问控制 - 为未来基于身份的威胁检测场景奠定了基础 **技能：** Active Directory、Azure 基础设施、身份管理、组策略（Group Policy）、PowerShell 自动化、委派管理 #### DMARC 邮件安全分析 **用于防范网络钓鱼的邮件认证协议分析** *仓库链接即将推出* ## 技术技能 ### SIEM 与安全平台 - **Splunk:** Splunk Cloud, Splunk Enterprise, HTTP Event Collector (HEC), SPL 查询语言 - **Microsoft Sentinel:** 工作区部署、数据连接器、分析规则、工作簿、KQL - **Azure/Entra ID:** 审计日志、登录日志、身份监控 ### 检测与查询语言 - **Python:** 日志解析、异常检测、自动化报告、基于阈值的告警 - **SPL (Splunk Processing Language):** 搜索查询、统计分析、关联搜索 - **KQL (Kusto Query Language):** 检测查询、汇总、时间序列分析 - **Sigma:** 平台无关的检测规则格式、基于 YAML 的规则编写 ### 端点遥测与日志记录 - **Sysmon:** 安装、配置、Event ID 1（进程创建）、Event ID 3（网络连接） - **Windows Security Logs:** Event ID 4688（进程创建）、命令行审计、auditpol 配置 - **DNS Client Logs:** DNS 查询分析、进程-网络关联 - **Event Viewer:** 日志分析、自定义视图、PowerShell 日志查询 ### 框架与方法论 - **MITRE ATT&CK:** 技术映射（T1059.001, T1071.001, T1071.004, Privilege Escalation 战术） - **检测工程：** 基于威胁情报的检测、行为分析、多源关联 - **SOC 运营：** 告警分类、事件调查、假阳性分析、检测调优 ### 云与基础设施 - **Microsoft Azure:** 虚拟网络、资源组、VM 部署、混合环境 - **Active Directory:** 域控制器、组织单位、组策略（Group Policy）、委派管理 - **PowerShell:** 自动化、日志分析、系统管理 ### 开发与工具 - **版本控制：** Git, GitHub, 提交工作流、仓库文档 - **脚本编写：** Python 3.x, PowerShell, Bash - **故障排除：** 服务调试、日志关联、根因分析 ## 认证与学习路径 ### 已完成的认证 | 认证 | 日期 | 重点关注领域 | |--------------|------|------------| | **CompTIA A+** | 2025年10月-11月 | 硬件、网络、操作系统、安全基础知识 | | **ISC2 Certified in Cybersecurity (CC)** | 2025年12月 | 安全原则、治理、风险管理 | | **CompTIA Security+** | 2025年12月 | 威胁、攻击、漏洞、安全架构 | ### 进行中 **SC-200: Microsoft Security Operations Analyst** *目标完成时间：2026年第二季度* 重点关注领域： - 使用 Microsoft Sentinel 缓解威胁 - 使用 Microsoft Defender 缓解威胁 - 在 Microsoft Sentinel 中查询、可视化和监控数据 - 在 Microsoft Sentinel 中配置和管理自动化 ### 其他培训 - **TryHackMe Advent of Cyber**（2025年12月 - 2026年1月） - 持续的安全研究和工具评估 ### 时间线：6 个月内从零到检测工程师 ``` September 2025 → Started from zero cybersecurity background October 2025 → CompTIA A+ Core 1 November 11, 2025 → CompTIA A+ Core 2 December 5, 2024 → ISC2 CC December 19, 2024 → CompTIA Security+ November 2025 - March 2026 → Built 8 detection engineering labs March 2026 → Current: Pursuing SC-200, applying for Detection Engineer roles ``` **这证明了：** 卓越的学习速度、自主导向能力以及快速获取新技术技能的能力——这些是检测工程角色的关键特质，因为该领域的威胁和技术在不断发展。 ## 联系与交流 我正在积极寻找检测工程师、安全工程师或 SOC Analyst 角色，以便在生产环境中应用和扩展这些技能。 ### 建立联系 - **LinkedIn:** [linkedin.com/in/tresean-tuggle-b36811138](https://www.linkedin.com/in/tresean-tuggle-b36811138/) - **GitHub:** [@tdt1114](https://github.com/tdt1114) - **Email:** tresean.tuggle@gmail.com ### 我在寻找什么 我正在寻找能够实现以下目标的机会： - 在生产环境中构建和调整检测 - 与经验丰富的检测工程师和威胁情报团队合作 - 获得企业级 SIEM 部署的实践经验 - 为 SOC 运营和事件响应工作流做出贡献 - 持续学习新兴的检测技术和威胁行为者 TTPs **开放职位：** 全职检测工程师、安全工程师或 SOC Analyst II **工作地点：** 远程或混合机会 **目前状态：** 正在积极面试中 ## 仓库结构 ``` detection-engineering-portfolio/ ├── README.md # This file - portfolio overview └── certifications/ ├── README.md # Certification overview and study resources ├── comptia-a-plus.md # CompTIA A+ study guide ├── isc2-cc.md # ISC2 CC study guide ├── security-plus.md # CompTIA Security+ study guide └── sc-200.md # SC-200 study guide (in progress) ``` ## 致谢 本作品集代表了 6 个月高强度的自主学习。特别感谢网络安全社区提供的开源工具、文档和指导，使这一切成为可能。 **构建工具：** Splunk, Microsoft Sentinel, Azure, Python, Sysmon, MITRE ATT&CK **灵感来源：** 现实世界的 SOC 运营检测工程工作流 **目的：** 向未来的雇主展示实际的检测工程能力 *最后更新：2026年3月*

标签：AI合规, AMSI绕过, CompTIA Security+, MITRE ATT&CK映射, SIEM平台, SOC运营, Terraform 安全, 告警开发, 命令控制, 威胁情报, 威胁检测, 安全分析师, 安全实验, 安全组合, 安全运营中心, 开发者工具, 微软SC-200, 数据采集, 日志摄取, 检测逻辑, 端点遥测, 网络安全, 网络映射, 逆向工具, 隐私保护