Ynotx64/Security-Operations
GitHub: Ynotx64/Security-Operations
企业 SOC 实验室文档与检测工程框架,聚焦检测对齐 ATT&CK 与杀伤链以提升分析能力。
Stars: 0 | Forks: 0
# 安全运营
为现代安全运营提供结构化防御内容的库,用于企业检测与防御。其目标是构建一个支持组织安全需求的仓库,涵盖检测工程、防御性安全运营、策略执行、系统加固和验证等方面。
目标是构建一个检测框架,能够:
- 追踪真实对手的战术、技术和程序(TTPs)
- 将检测对齐至 MITRE ATT&CK 技术
- 支持网络杀伤链阶段覆盖
- 通过关联分析提升分析师的分级处理能力
- 将多个弱信号关联为更强发现以提高置信度
本仓库旨在包含:
- **EDR 措施**
- **检测规则**
- **策略执行内容**
- **基于查询的分析**
- **自动化加固操作**
- **验证流程**
## 检测内容分类
此环境中的检测内容分为六大类。
### 3.1 身份与身份验证检测
用于检测:
- 密码喷洒
- 暴力破解
- 异常特权登录
- 失败后成功的身份验证模式
- 利用重用凭证的横向移动
- 远程管理滥用
### 3.2 基于主机的检测
用于检测:
- 可疑进程执行
- 特权提升
- 持久化机制
- 服务创建或修改
- 文件完整性变更
- 可疑脚本或二进制文件
### 3.3 基于网络的检测
用于检测:
- 已知恶意流量特征
- 可疑 DNS 模式
- 信标行为
- 东向横向移动
- 协议滥用
- 命令与控制特征
### 3.4 基础设施与边缘检测
用于检测:
- 路由器或防火墙配置漂移
- 对网络设备的意外管理员访问
- 基础设施设备的出站流量
- 远程管理姿态变更
- 异常控制平面访问
### 3.5 遥测完整性与可见性检测
用于检测:
- 缺失的日志源
- 转发器故障
- 传感器静默
- 预期遥测的突然下降
- 日志管道异常
### 3.6 关联检测
用于将多个低级别检测合并为更强的发现。
### 3.7 与 APT 风格入侵相关的检测
该环境专门设计用于支持防御隐蔽且持续的对手,而不仅仅是商品化攻击。
### 3.8 APT 风格活动在检测设计中的特征
- 耐心的凭证滥用
- 低流量通信
- 使用合法的管理路径
- 偏好基础设施与边缘访问
- 隐蔽持久化
- 通过信任区域的分阶段移动
- 长时间驻留
### 3.9 APT 类似手法对应的检测主题
- 不寻常的特权登录时间
- 罕见的管理路径使用
- 边缘设备异常
- 长期低带宽出站流量
- 基于 DNS 的命令与控制指标
- 账户操纵与访问持久化
- 向管理系统移动
## MITRE ATT&CK 映射策略
MITRE ATT&CK 框架用于根据对手行为对检测进行分类。
这很重要,因为它使实验室能够:
- 测量攻击手法的覆盖范围
- 识别仍存在的可见性差距
- 理解不同检测如何支持相同的对手目标
### 4.1 本环境中 ATT&CK 的使用
实验室主要将检测映射到:
- 初始访问
- 执行
- 持久化
- 特权提升
- 防御规避
- 凭证访问
- 发现
- 横向移动
- 收集
- 命令与控制
- 渗出
- 影响
### 4.2 与实验室相关的 ATT&CK 技术示例
检测集旨在解决的技术示例:
- T1110 – 暴力破解
- T1078 – 有效账户
- T1021 – 远程服务
- T1059 – 命令和脚本解释器
- T1053 – 计划任务/作业
- T1543 – 创建或修改系统进程
- T1562 – 削弱防御
- T1036 – 伪装
- T1046 – 网络服务扫描
- T1016 – 系统网络配置发现
- T1087 – 账户发现
- T1071 – 应用层协议
- T1071.004 – DNS
- T1095 – 非应用层协议
- T1571 – 非标准端口
- T1568 – 动态解析
## 网络杀伤链映射策略
网络杀伤链用于理解入侵从早期访问到操作目标的进展过程。
该模型有用,因为它帮助分析师推理入侵生命周期所处阶段。
### 5.1 本文档使用的杀伤链阶段
- 侦察
- 武器化
- 传递
- 入侵
- 安装
- 命令与控制
- 行动目标
### 5.2 为何杀伤链映射很重要
MITRE ATT&CK 提供深度,网络杀伤链提供顺序。
结合使用时,它们帮助回答:
- 正在发生哪种技术
- 入侵生命周期中对手当前所处的位置
## 布局
- docs/
- packs/apt31-core/
- packs/ifrag-dhv/
- packs/aptpack-core/
- shared/
标签:Cloudflare, DNS隧道, EDR, GitHub Advanced Security, IAM, Lerna, MITRE ATT&CK, PoC, 主机检测, 企业级安全, 协议分析, 命令与控制, 安全加固, 安全合规, 安全运营, 密码喷洒, 异常检测, 扫描框架, 日志采集, 暴力破解, 权限提升, 查询分析, 检测规则, 横向移动, 端点检测与响应, 策略执行, 编程规范, 网络代理, 网络杀伤链, 网络检测, 网络流量分析, 网络资产发现, 脆弱性评估, 脱壳工具, 自动化响应, 身份与访问管理, 遥测, 验证流程