abubernhzl/blue-arsenal
GitHub: abubernhzl/blue-arsenal
面向蓝队的云优先 DFIR 资源集合,汇集真实事件响应中积累的 KQL 狩猎查询、Sigma/YARA 检测规则、攻击路径分析和检测工程方法论。
Stars: 0 | Forks: 0
# 🔵 Blue Arsenal
[](https://github.com/abubernhzl/blue-arsenal/stargazers)
[](https://github.com/abubernhzl/blue-arsenal/commits/main)
[](LICENSE)
## 🎯 这是什么?
大多数 DFIR 的 GitHub 仓库要么是没有实质内容的工具列表,要么侧重于红队,或者局限于本地部署的 Windows 环境。
**Blue Arsenal 与众不同:**
- ✅ 真实的内容 — 来自实际 IR 工作的备忘录、查询和规则
- ✅ 云优先 — Azure、AWS 和 GCP 取证作为一等公民
- ✅ 实践者视角 — 由分析师撰写,为分析师服务
- ✅ 对齐 ATT&CK — 每一项检测都映射到相应的技术
- ✅ 活跃的资源 — 根据实际现场工作定期更新
## 📁 仓库结构
```
blue-arsenal/
│
├── cheatsheets/ # Quick reference field guides
├── hunting-queries/
│ └── kql/ # Microsoft Sentinel & Defender XDR
│ ├── identity/ # Entra ID, AAD hunting
│ ├── endpoint/ # Defender for Endpoint
│ ├── cloud/ # Azure & AWS activity
│ └── network/ # Network hunting
├── sigma-rules/ # Platform-agnostic detection rules
│ ├── windows/
│ ├── linux/
│ └── cloud/
├── yara-rules/ # Malware & webshell detection
│ ├── malware/
│ └── webshells/
├── scripts/ # Triage & response automation
│ ├── windows/ # PowerShell
│ └── linux/ # Bash
├── attack-paths/ # Attacker chain analysis + detection mapping
│ ├── aws/
│ └── azure/
└── detection-engineering/ # Methodology, templates & testing
├── methodology.md
├── templates/
├── testing/
└── threat-modeling/
```
## 📋 内容
### 📄 备忘录
| 文件 | 描述 |
|------|-------------|
| [DFIR_CheatSheet.md](cheatsheets/DFIR_CheatSheet.md) | DFIR 综合现场参考 — 分类、工件、内存、网络、恶意软件 |
| [Cloud_Forensics.md](cheatsheets/Cloud_Forensics.md) | Azure(主要)、AWS 和 GCP 取证 — 日志源、工件、IR 命令 |
| [AWS_Attack_Paths.md](cheatsheets/AWS_Attack_Paths.md) | AWS 攻击链参考及检测映射 |
### 🔎 KQL Hunting 查询
Microsoft Sentinel 和 Defender XDR 查询,按领域分类。
| 类别 | 重点 |
|----------|-------|
| [identity/](hunting-queries/kql/identity/) | 登录异常、MFA 滥用、权限提升、高风险用户 |
| [endpoint/](hunting-queries/kql/endpoint/) | 进程执行、持久化、横向移动 |
| [cloud/](hunting-queries/kql/cloud/) | Azure 活动、资源更改、Defender 警报 |
| [network/](hunting-queries/kql/network/) | DNS 异常、C2 信标、数据窃取 |
### 🎯 Sigma 规则
平台无关的检测规则 — 一次编写,随处部署。
```
# 转换为 KQL (Microsoft Sentinel)
sigma convert -t kusto -p microsoft_365_defender rule.yml
# 转换为 Splunk
sigma convert -t splunk rule.yml
# 转换为 Elastic
sigma convert -t elasticsearch rule.yml
```
| 类别 | 规则 |
|----------|-------|
| [windows/](sigma-rules/windows/) | 进程创建、注册表、事件日志检测 |
| [linux/](sigma-rules/linux/) | 认证、cron、bash 历史记录、持久化 |
| [cloud/](sigma-rules/cloud/) | CloudTrail、Azure Activity、GCP audit |
### 🦠 YARA 规则
| 类别 | 重点 |
|----------|-------|
| [malware/](yara-rules/malware/) | 恶意软件家族检测模式 |
| [webshells/](yara-rules/webshells/) | Webshell 检测 |
### ⚙️ 脚本
实时响应和分类自动化。
| 平台 | 重点 |
|----------|-------|
| [windows/](scripts/windows/) | PowerShell — 进程、网络、持久化、注册表分类 |
| [linux/](scripts/linux/) | Bash — 认证日志、cron、SUID、进程分析 |
### ⛓️ 攻击路径
从初始访问到造成影响的攻击者链路分析 — 每一步都附带检测映射。
| 平台 | 链路 |
|----------|--------|
| [aws/](attack-paths/aws/) | IMDS 滥用、PassRole 提权、GuardDuty 规避、CloudTrail 篡改 |
| [azure/](attack-paths/azure/) | 即将推出 |
### 🔬 检测工程
关于如何构建、测试和维护检测背后的方法论。
| 文件 | 描述 |
|------|-------------|
| [methodology.md](detection-engineering/methodology.md) | 检测开发流程 |
| [templates/](detection-engineering/templates/) | Sigma 和 KQL 入门模板 |
| [testing/](detection-engineering/testing/) | 如何验证检测是否有效 |
| [threat-modeling/](detection-engineering/threat-modeling/) | 用于优先确定覆盖范围的威胁模型 |
## 🧰 主要参考工具
| 工具 | 用途 |
|------|-----|
| [Microsoft Sentinel](https://azure.microsoft.com/en-us/products/microsoft-sentinel) | 云原生 SIEM |
| [Defender XDR](https://security.microsoft.com) | 端点 + 身份检测 |
| [Volatility 3](https://github.com/volatilityfoundation/volatility3) | 内存取证 |
| [KAPE](https://www.kroll.com/kape) | 工件收集 |
| [Eric Zimmerman Tools](https://ericzimmerman.github.io) | Windows 工件解析 |
| [Sigma](https://github.com/SigmaHQ/sigma) | 检测规则格式 |
| [Chainsaw](https://github.com/WithSecureLabs/chainsaw) | Windows 事件日志 Hunting |
| [Hayabusa](https://github.com/Yamato-Security/hayabusa) | Windows 事件日志分析 |
| [detecting.cloud](https://detecting.cloud) | 云攻击研究与检测 |
## 🌐 关键参考
| 资源 | 链接 |
|----------|------|
| MITRE ATT&CK | [attack.mitre.org](https://attack.mitre.org) |
| MITRE ATT&CK Cloud | [attack.mitre.org/matrices/enterprise/cloud](https://attack.mitre.org/matrices/enterprise/cloud) |
| DFIR Training | [dfir.training](https://dfir.training) |
| Detecting.Cloud | [detecting.cloud](https://detecting.cloud) |
| AWS Security IR Guide | [AWS IR 指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) |
| Microsoft IR Playbooks | [Microsoft 安全博客](https://www.microsoft.com/en-us/security/blog/) |
## 🚀 快速开始
```
git clone https://github.com/abubernhzl/blue-arsenal.git
cd blue-arsenal
```
无需任何依赖。无需复杂设置。按需获取即可。
## 🗺️ 路线图
- [x] DFIR 综合备忘录
- [x] 云取证 — Azure, AWS, GCP
- [x] AWS 攻击路径
- [ ] Azure 攻击路径
- [ ] KQL Identity Hunting 查询
- [ ] KQL Cloud Hunting 查询
- [ ] Sigma 规则 — Windows
- [ ] Sigma 规则 — Cloud
- [ ] PowerShell 实时响应脚本
- [ ] 检测工程方法论
- [ ] 🔴 Red Arsenal(未来计划)
## 🤝 参与贡献
欢迎贡献 — 详见 [CONTRIBUTING.md](CONTRIBUTING.md)。
发现错误、有更好的检测方法,或想添加新的攻击路径?欢迎提交 PR。
## ⚠️ 免责声明
所有内容仅用于**已授权的事件响应、取证调查、威胁狩猎和研究目的**。使用前请务必确保拥有适当的授权。
## 📬 联系方式
- LinkedIn: [Abu Bakar Huzail](https://www.linkedin.com/in/abubakarhuzail/)
- GitHub: [@abubernhzl](https://github.com/abubernhzl)
*源自真实世界的 IR 工作 | 定期更新 | 云优先的 DFIR*
标签:AI合规, AWS安全, Azure安全, Bash, Cloudflare, Defender XDR, DNS信息、DNS暴力破解, GCP安全, IPv6, KQL, Kusto查询语言, Microsoft Sentinel, MITRE ATT&CK, PE 加载器, PowerShell, Sigma规则, Webshell检测, YARA规则, 云取份, 子域名变形, 安全脚本, 应用安全, 攻击路径分析, 数字取证与事件响应, 目标导入, 端点安全, 紫队, 网络信息收集, 网络安全, 网络安全审计, 补丁管理, 身份安全, 隐私保护