Nessidgtl/detection-engineering-lab

# Detection Engineering 实验室 大多数检测组合止步于编写规则。本项目不止于此。 本仓库中的每个案例都基于真实的攻击场景，并贯穿完整的检测生命周期：了解攻击如何展开、识别最具价值的检测窗口、编写规则、针对真实遥测进行测试、记录存在的问题，并不断迭代，直到检测在现实条件下站得住脚。 重点在于让检测在生产环境中存活下来的分析工作——而非工具熟悉度或特征编写。 ## 内容概览 **[cases/](./cases/)** - 基于真实攻击报告构建的端到端检测调研。每个案例包括： - 一份调研叙述，识别出在攻击链的*何处*检测最重要以及*原因* - 用 EQL 编写的检测逻辑，已在实验室环境中测试和验证 - 关于测试过程中失败的内容以及如何改进检测的如实记录 - 绕过分析、误报评估和分级指导 **[tools/](./tools/)** - 常被滥用的工具和恶意软件家族的行为画像，重点关注它们在遥测中的表现，而非其定义 ## 案例 | 案例 | ATT&CK 重点 | 检测目标 | 状态 | |------|-------------|-------------------|--------| | [Apache ActiveMQ → LockBit](./cases/activemq_rce_to_ransomware/) | Initial Access → Credential Access | 服务来源执行 → shell → 在受限时间窗口内访问 LSASS | 已验证 (v2) | | *更多案例进行中* | | | | ## 方法论 每个案例都遵循相同的流程： 1. **攻击分解** - 将真实的入侵报告分解为带有时间戳和依赖关系的逐步行为链 2. **检测窗口识别** - 找到攻击者正在产生可检测的工件但尚未达成其目标（例如凭据已窃取或横向移动已开始）的时刻 3. **检测设计** - 编写针对该窗口的行为规则，将弱信号链接成高置信度序列 4. **验证** - 在实验室环境中针对真实遥测进行测试（Windows VM + Sysmon + Elastic Security），记录遥测的实际样貌，修复失效之处 5. **迭代** - 移除脆弱的假设，根据观察到的行为扩展覆盖范围，记录已知的绕过方式和局限性 目标是让检测行之有效，因为它们针对的是攻击者*难以轻易改变*的行为，而不是因为它们匹配了特定的工具或特征。 ## 实验室环境 - 安装了 Sysmon（ProcessCreate + ProcessAccess）的 Windows VM - 使用 Elastic Security 作为 SIEM - 手动攻击模拟（不使用自动化框架——每一步都单独执行并观察） ## 联系方式 对专注于现实世界、基于行为的检测的 Detection Engineering 和蓝队职位感兴趣 - Email: [nessi.dgtl@gmail.com](mailto:nessi.dgtl@gmail.com) - LinkedIn: [linkedin.com/in/anna-nechaeva-240283188](https://www.linkedin.com/in/anna-nechaeva-240283188)

标签：ActiveMQ, AMSI绕过, CISA项目, EQL, LockBit, TGT, 勒索软件, 响应式编程, 威胁检测, 安全测试, 安全运营, 扫描框架, 攻击性安全, 攻防演练, 横向移动, 真实攻击场景, 端点检测, 编程规范, 规则编写, 误报分析