dbigger16/Detection-Engineering

# 实战检测工程 作者：David Bigger 邮箱：david@davidbigger.com ## 理念 检测工程不在于警报的数量 —— 而在于增加对手的成本。 本仓库包含实用的 Sigma 规则和检测报告，重点关注： - 中小企业 (SMB) 环境 - 以 Windows 为主的生态系统 - 我的个人经验 - 最小化的遥测数据假设 - 高信噪比的行动技术检测 - 清晰的调优指导 目标很简单： 提高入侵成本。 缩短驻留时间。 检测攻击者行为 —— 而不仅仅是工具。 所有检测内容的编写均包含： - 运维背景 - 误报考量 - 威胁猎捕扩展思路 - 务实的遥测假设 ## 结构 - `/sigma/` → Sigma 检测规则 - `/detections/` → 深度检测分析 - 包含适用的 MITRE ATT&CK 映射 这是一项不断演进的工作，专注于针对 SMB 网络的勒索软件、入侵组织和键盘实战活动中观察到的现实世界攻击者技术。

标签：AMSI绕过, PE 加载器, RFI远程文件包含, Sigma 规则, Windows 安全, 中小企业安全, 勒索软件防护, 域名分析, 威胁检测, 安全运营, 实战安全, 扫描框架, 攻击行为分析, 网络安全, 误报调优, 遥测数据, 防御策略, 隐私保护, 高保真告警