mtran0989/siem-detection-engineering
GitHub: mtran0989/siem-detection-engineering
一个跨 Sigma、Sentinel 和 Splunk 平台的 SIEM 检测工程实践项目,演示从攻击行为识别到规则调优的完整检测生命周期。
Stars: 0 | Forks: 0
# SIEM 检测工程实验室
## 概述
SIEM 检测工程实验室是一个中级网络安全项目,旨在演示如何在现实世界的安全运营环境中进行检测工程。本实验室专注于跨多个 SIEM 平台(包括 Sigma、Microsoft Sentinel (KQL) 和 Splunk (SPL))构建、调优和验证检测逻辑。
该项目不仅仅是编写检测查询,更强调完整的检测生命周期。它详细介绍了如何将对抗行为转化为遥测数据,如何创建初始检测,以及如何通过调优来减少误报并提高运营价值,从而完善这些检测。最终成果是一组反映现实 SOC 工作流程的生产就绪型分析规则。
## 目标
本实验室的主要目标是模拟企业级检测工程实践。这包括识别攻击者技术,将这些技术映射到可用的遥测数据,并构建在真实环境中既有效又实用的检测。
项目的一个关键重点是演示原始检测逻辑如何通过迭代调优演变为成熟的分析规则。实验室强调了上下文(如用户行为、进程谱系和主机角色)在减少噪音和提高检测保真度方面的关键作用。此外,每个检测都映射到 MITRE ATT&CK 框架,以将技术检测逻辑与标准化的对抗行为模型保持一致。
## 展示的技能
本项目展示了一系列核心蓝队和检测工程技能。它演示了分析攻击者技术、跨多个平台开发 SIEM 查询以及使用 Sigma 编写平台无关检测规则的能力。它还突出了在日志分析、遥测映射和误报减少方面的实践经验。
除了技术检测编写之外,该项目还强调结构化文档和检测逻辑的清晰传达。这是现实世界环境中的一项关键技能,因为在这些环境中,检测必须能够被多名分析师和工程师理解、维护和改进。
## 检测用例
该实验室包含几个反映企业环境中观察到的常见攻击者技术的高价值检测场景。这些包括可疑的 PowerShell 使用、凭据转储活动、通过 PsExec 进行横向移动、通过 WMI 进行横向移动以及 Base64 编码命令的执行。
每个检测都是使用一致的方法开发的。项目提供了检测逻辑的详细说明,以及相应的 Sigma 规则、Microsoft Sentinel KQL 查询和 Splunk SPL 查询。此外,每个用例都包含记录在案的误报、调优策略以及调优前后检测性能的比较。这种方法展示了检测如何从宽泛、嘈杂的逻辑演变为精细且可操作的分析规则。
该项目通过将检测逻辑转换为 Sigma、KQL 和 SPL,演示了如何跨不同平台检测相同的基础行为。这突出了在构建有效检测时理解数据和查询语言的重要性。
## 检测工程方法论
本实验室使用的方法遵循结构化的、现实世界的检测工程方法。它首先根据 MITRE ATT&CK 等框架识别相关的攻击者行为。然后,下一步是将这些行为映射到可用的遥测源,以确定可用于检测的数据。
一旦理解了数据源,就会使用宽泛的逻辑创建初始检测。这个初始版本旨在具有包容性以确保覆盖范围,但通常会导致高警报量。然后针对样本或模拟数据验证检测,并分析误报。
通过结合上下文过滤器(如父进程、用户角色、执行模式和已知的行政活动)来执行调优。这个迭代过程持续进行,直到检测在覆盖范围和精确度之间达到平衡。最终结果是既可操作又在运营上可行的检测。
```
flowchart TD
A["Identify Attacker Behavior
MITRE ATT&CK / Threat
Tradecraft"] --> B["Map Behavior to
Telemetry Windows Logs,
Sysmon, PowerShell, EDR"] B --> C["Create Initial Detection
Logic Broad Rules for
Coverage"] C --> D["Validate Detection
Sample Logs / Simulated
Activity"] D --> E["Analyze False Positives
Review Benign Matches"] E --> F["Tune Detection Logic
Parent Process,
User Role, Execution
Context, Admin Activity"] F --> G{"Balanced Detection?"} G -- "No" --> D G -- "Yes" --> H["Production-Ready Detection
Actionable and
Operationally Viable"] ``` ## 实验室架构 该实验室旨在模拟简化的企业日志记录管道。端点系统通过 Windows Security 日志、Sysmon 和 PowerShell 日志记录生成遥测数据。然后,这些数据被转发到 SIEM 平台,并在其中应用检测逻辑。 该项目通过将检测逻辑转换为 Sigma、KQL 和 SPL,演示了如何跨不同平台检测相同的基础行为。这突出了在构建有效检测时理解数据和查询语言的重要性。 ## 检测工程工作流 本项目演示的工作流反映了检测在实践中的演变方式。原始日志被摄取到 SIEM 中,并在其中应用初始检测逻辑。这通常会产生嘈杂的结果,然后通过调优对其进行分析和改进。添加上下文丰富以提高准确性,最终检测被提升为生产就绪的分析规则。 此生命周期强调检测工程不是一次性任务,而是一个持续完善和改进的过程。 ## 工具与技术 本项目利用了几种行业标准的工具和框架,包括 Microsoft Sentinel、Splunk、Sigma、Sysmon 和 MITRE ATT&CK 框架。这些技术共同代表了现代安全运营中心常用的现实检测工程技术栈。 ## 验证方法 为了确保检测有意义,实验室包含一个验证组件,用于生成和分析模拟活动。这可能包括执行 PowerShell 命令、模拟编码命令使用或执行类似于横向移动的管理操作。 验证的目标是确认检测按预期触发,识别误报,并验证调优改进是否有效。此步骤强调了在生产中部署检测之前在受控环境中测试检测的重要性。 ## 结语 该项目旨在反映现代安全团队如何在真实环境中构建、测试和完善检测。它强调有效的检测工程不仅仅是编写查询,而是关于理解行为、利用数据并随着时间的推移不断提高检测质量。
MITRE ATT&CK / Threat
Tradecraft"] --> B["Map Behavior to
Telemetry Windows Logs,
Sysmon, PowerShell, EDR"] B --> C["Create Initial Detection
Logic Broad Rules for
Coverage"] C --> D["Validate Detection
Sample Logs / Simulated
Activity"] D --> E["Analyze False Positives
Review Benign Matches"] E --> F["Tune Detection Logic
Parent Process,
User Role, Execution
Context, Admin Activity"] F --> G{"Balanced Detection?"} G -- "No" --> D G -- "Yes" --> H["Production-Ready Detection
Actionable and
Operationally Viable"] ``` ## 实验室架构 该实验室旨在模拟简化的企业日志记录管道。端点系统通过 Windows Security 日志、Sysmon 和 PowerShell 日志记录生成遥测数据。然后,这些数据被转发到 SIEM 平台,并在其中应用检测逻辑。 该项目通过将检测逻辑转换为 Sigma、KQL 和 SPL,演示了如何跨不同平台检测相同的基础行为。这突出了在构建有效检测时理解数据和查询语言的重要性。 ## 检测工程工作流 本项目演示的工作流反映了检测在实践中的演变方式。原始日志被摄取到 SIEM 中,并在其中应用初始检测逻辑。这通常会产生嘈杂的结果,然后通过调优对其进行分析和改进。添加上下文丰富以提高准确性,最终检测被提升为生产就绪的分析规则。 此生命周期强调检测工程不是一次性任务,而是一个持续完善和改进的过程。 ## 工具与技术 本项目利用了几种行业标准的工具和框架,包括 Microsoft Sentinel、Splunk、Sigma、Sysmon 和 MITRE ATT&CK 框架。这些技术共同代表了现代安全运营中心常用的现实检测工程技术栈。 ## 验证方法 为了确保检测有意义,实验室包含一个验证组件,用于生成和分析模拟活动。这可能包括执行 PowerShell 命令、模拟编码命令使用或执行类似于横向移动的管理操作。 验证的目标是确认检测按预期触发,识别误报,并验证调优改进是否有效。此步骤强调了在生产中部署检测之前在受控环境中测试检测的重要性。 ## 结语 该项目旨在反映现代安全团队如何在真实环境中构建、测试和完善检测。它强调有效的检测工程不仅仅是编写查询,而是关于理解行为、利用数据并随着时间的推移不断提高检测质量。
标签:AI合规, AMSI绕过, BurpSuite集成, Cloudflare, EDR, KQL, Microsoft Sentinel, MITRE ATT&CK, SPL, TGT, 代码示例, 威胁检测, 安全实验室, 安全运营, 扫描框架, 攻防演练, 数据分析, 网络安全, 脆弱性评估, 误报消除, 遥测映射, 隐私保护