Barrosleo/bluephoenix-detection-lab

# BluePhoenix — 检测工程与自动化实验室 BluePhoenix 是一个 GitHub 优先的检测工程项目，旨在演示如何将攻击者行为转化为遥测数据、检测逻辑和自动化响应决策。 本项目重点关注： - 对齐 MITRE ATT&CK 的检测 - 本地生成的真实端点遥测 - Detection‑as‑code（检测即代码）实践 - 安全自动化设计 - 工程级文档 无需云服务或付费工具。GitHub 充当所有检测逻辑、遥测样本和自动化工作流的控制平面。 ## 仓库结构 ``` bluephoenix-detection-lab/ ├── README.md ├── detections/ │ ├── T1059_command_execution.yaml │ └── T1110_bruteforce.yaml ├── attack-simulations/ │ ├── T1059/ │ │ ├── attack_steps.md │ │ ├── raw_logs.json │ │ └── parsed_events.json │ └── T1110/ │ ├── attack_steps.md │ ├── raw_logs.json │ └── parsed_events.json ├── automation/ │ └── response_decision_tree.md ├── docs/ │ ├── architecture.md │ ├── detection-coverage.md │ └── telemetry-sources.md └── LICENSE ``` ## 目标 - 基于真实遥测工程化高保真检测 - 将检测映射到 MITRE ATT&CK 技术 - 记录误报和响应策略 - 设计 SOAR 风格的自动化工作流 - 展示检测工程成熟度 ## 范围 (MVP) - T1059 — 命令执行 - T1110 — 暴力破解 ## 遥测来源 - Windows Event Logs - Sysmon - Linux authentication logs - 本地攻击模拟 ## 免责声明 本项目仅用于防御性安全研究和学习目的。

标签：AMSI绕过, Cloudflare, GitHub 安全, Homebrew安装, Linux 审计日志, MITRE ATT&CK, PoC, SOAR, Sysmon, Windows 事件日志, 命令执行, 威胁检测, 安全运营, 扫描框架, 暴力破解, 检测即代码, 端点遥测, 网络安全实验室, 防御加固