huyvo13032005/SOC-Detection-Rules

# SOC 检测规则 基于 MITRE ATT&CK 的 SOC 监控检测规则。 ## 工具 * Sysmon * ELK Stack * Windows Event Logs * MITRE ATT&CK ## 检测用例 * PowerShell 执行检测 (T1059.001) * 可疑进程创建 * 凭据转储检测 * 数据渗出检测 ## SOC 工作流 检测 pipeline 详见 SOC-workflow.md。 ## 示例规则 ### PowerShell 执行 Event ID: 1 Image: powershell.exe CommandLine: suspicious flags MITRE: T1059.001 ## SIEM 查询示例 Kibana Query: process.name : "powershell.exe" ## 检测规则 * PowerShell 执行检测 * 编码 PowerShell 检测 * 可疑父进程检测 * 凭据转储检测 * 数据渗出检测

标签：AMSI绕过, Cloudflare, Elasticsearch, ELK Stack, MITRE ATT&CK, OpenCanary, PowerShell检测, Sysmon, Windows事件日志, 威胁检测, 安全运营中心, 数据渗出, 检测规则, 网络安全, 网络映射, 网络资产发现, 越狱测试, 进程创建, 隐私保护