elizabethjean141/Detection-Engineering

# 检测工程家庭实验室 基于 Windows/Ubuntu 虚拟机架构的 MITRE ATT&CK 映射检测工程项目。通过 Atomic Red Team 执行模拟，使用 Sysmon 采集遥测数据，并在 Wazuh 中进行分析。 ## 实验室架构 ### 当前配置 - **SIEM：** Wazuh（Ubuntu 虚拟机） - **NDR：** Suricata（Ubuntu 虚拟机） - **终端：** Windows 11 虚拟机（配备 Sysmon 和 Wazuh 代理） - **模拟工具：** Atomic Red Team - **框架：** MITRE ATT&CK - **攻击节点：** Kali Linux ### 前期配置 - **SIEM：** Splunk Enterprise（配合 Universal Forwarder） - 此环境中构建的检测规则记录如下。 ## 检测覆盖范围 ## | 技术 | 名称 | 状态 | |-----------|------|--------| | T1218.010 | Regsvr32 / Squiblydoo | ✅ 已检测 | | T1055 | 进程注入 | ⚠️ 部分检测 - 已记录盲点 | | T1003.001 | LSASS 内存转储 | 🛡️ 被 RunAsPPL 阻止 | | T1003.002 | SAM 注册表配置单元转储 | ✅ 已检测 | | T1112 | LSA 注册表修改 | ✅ 已检测 | | T1059.001 | PowerShell 执行 | ✅ 已检测 | | T1547.001 | 注册表运行键 | ✅ 已检测 | ## 检测规则 *（详细分析即将发布）* ## 备注 本实验室记录了成功检测和失败案例。 有意包含盲点和流程缺口——理解检测规则失败的原因与确认其成功同等重要。

标签：AMSI绕过, Atomic Red Team, ATT&CK框架, Cloudflare, Conpot, EDR, Home Lab, Metaprompt, MITRE ATT&CK, NDR, OpenCanary, SPL查询, Suricata, Sysmon, T1003, T1055, T1059, T1112, T1218, T1547, Wazuh, Windows安全, 威胁情报, 威胁检测, 安全运营, 开发者工具, 扫描框架, 数据展示, 数据泄露检测, 现代安全运营, 生成式AI安全, 红队, 终端检测, 网络检测与响应, 脆弱性评估, 虚拟机