campeon23/detection-factory

# detection-factory 面向生产环境威胁检测、分析、关联、狩猎内容以及测试覆盖的中心化检测工程仓库，涵盖恶意软件家族、攻击者技战术、零日漏洞以及平台特定行为。 ## 用途 `detection-factory` 旨在以可扩展和可重复的方式，跨多个威胁类别、遥测源和检测平台组织检测工程内容。 本仓库支持： - 生产环境检测 - 跨 SIEM/XDR 平台的检测逻辑实现 - 特定威胁家族的内容 - 零日漏洞和新兴威胁覆盖 - 验证和回放测试 - 狩猎内容和提升工作流 - 分诊和响应 Playbook - 覆盖率和缺口报告 ## 仓库结构 ``` detection-factory/ ├── README.md ├── CONTRIBUTING.md ├── LICENSE ├── SECURITY.md ├── CODEOWNERS ├── .gitignore ├── docs/ │ ├── standards/ │ ├── onboarding/ │ ├── naming-conventions/ │ ├── severity-model/ │ ├── triage-guides/ │ └── coverage-model/ ├── schemas/ │ ├── detection.schema.json │ ├── test.schema.json │ └── metadata.schema.json ├── detections/ │ ├── endpoint/ │ │ ├── windows/ │ │ │ ├── credential-access/ │ │ │ │ ├── lsass/ │ │ │ │ │ ├── procdump/ │ │ │ │ │ ├── kslkatz/ │ │ │ │ │ └── nanodump/ │ │ │ │ └── sekurlsa/ │ │ │ ├── discovery/ │ │ │ │ ├── bloodhound/ │ │ │ │ └── sharphound/ │ │ │ ├── defense-evasion/ │ │ │ ├── execution/ │ │ │ ├── persistence/ │ │ │ └── lateral-movement/ │ │ ├── linux/ │ │ └── macos/ │ ├── network/ │ ├── cloud/ │ │ ├── aws/ │ │ ├── azure/ │ │ └── gcp/ │ ├── identity/ │ │ ├── entra-id/ │ │ ├── active-directory/ │ │ └── okta/ │ ├── email/ │ ├── saas/ │ └── multi-source/ │ ├── correlation/ │ └── campaign/ ├── analytics/ │ ├── splunk/ │ ├── sigma/ │ ├── falcon-next-gen-siem/ │ ├── sentinel/ │ ├── elastic/ │ └── xdr/ ├── threat-content/ │ ├── malware-families/ │ │ ├── kslkatz/ │ │ ├── procdump-abuse/ │ │ ├── bloodhound-family/ │ │ └── mimikatz/ │ ├── threat-actors/ │ ├── zero-days/ │ └── case-studies/ ├── mappings/ │ ├── mitre-attack/ │ ├── d3fend/ │ ├── kill-chain/ │ └── data-sources/ ├── baselines/ │ ├── allowlists/ │ ├── suppressions/ │ └── environment-profiles/ ├── tests/ │ ├── unit/ │ ├── validation/ │ ├── atomic-red-team/ │ ├── replay/ │ └── datasets/ ├── hunts/ │ ├── hypotheses/ │ ├── exploratory/ │ └── promoted/ ├── enrichments/ │ ├── lookup-tables/ │ ├── watchlists/ │ └── asset-context/ ├── playbooks/ │ ├── triage/ │ ├── investigation/ │ └── response/ ├── reports/ │ ├── coverage/ │ ├── gaps/ │ └── validation-results/ ├── tooling/ │ ├── linters/ │ ├── converters/ │ ├── packagers/ │ └── ci-scripts/ └── .github/ ├── workflows/ ├── pull_request_template.md └── ISSUE_TEMPLATE/ ``` ## 内容模型 ### detections/ 按领域、平台和威胁行为组织的逻辑检测内容。 示例： - 通过 ProcDump 进行 LSASS 转储 - KslKatz 和 BYOVD 辅助的凭据访问 - BloodHound 和 SharpHound 发现活动 - 云权限滥用 - 身份枚举和持久化 ### analytics/ 检测逻辑的平台特定实现。 示例： - Splunk SPL - Sigma 规则 - Falcon Next-Gen SIEM 检测 - Microsoft Sentinel 分析 - Elastic 查询 ### threat-content/ 针对恶意软件家族、新兴技战术、攻击活动和零日漏洞的威胁中心化组织。 示例： - kslkatz - bloodhound-family - mimikatz - zero-days/2026/... ### tests/ 用于证明检测按预期工作并随时间保持稳定的验证工件。 示例： - 单元测试 - 事件回放验证 - Atomic Red Team 映射 - 合成数据集 ### hunts/ 假设驱动和探索性的内容，随后可以提升为生产环境检测。 ### playbooks/ 面向 SOC 和事件响应人员的操作分诊、调查和响应指导。 ## 设计原则 - 首先按检测领域组织，其次按平台实现组织 - 将检测逻辑与威胁研究及实现细节分离 - 支持基于行为和基于威胁家族的导航 - 将测试和验证视为一等仓库公民 - 保持与 ATT&CK、遥测和响应工作流的清晰映射 - 支持从狩猎到经过验证的生产环境检测的提升 ## 示例用例 本仓库旨在支持以下方面的覆盖： - 零日漏洞和快速涌现的技战术 - 凭据转储和 LSASS 访问 - BYOVD 活动 - 诸如 BloodHound 和 SharpHound 之类的发现框架 - LOLBin 和签名二进制文件滥用 - 云和身份攻击路径 - 恶意软件家族追踪和分析聚类 - 多源检测关联 ## 建议的命名约定 文件夹和文件使用小写字母和连字符命名。 示例： - `bloodhound-family` - `procdump-lsass-access` - `defender-driver-tampering` - `gcp-privilege-escalation` - `azure-persistence-app-registration` 尽可能保持名称关注行为，当内容具有强烈的威胁特定性时使用家族名称。 ## 建议的工作流 1. 在 `threat-content/` 中添加或更新威胁研究 2. 在 `detections/` 中构建逻辑检测内容 3. 在 `analytics/` 中实现特定平台分析 4. 在 `tests/` 中添加验证材料 5. 在 `playbooks/` 中记录分诊和响应操作 6. 在 `reports/` 中发布覆盖率和缺口输出 ## 本仓库的目标受众 - 检测工程师 - 威胁猎人 - SOC 内容工程师 - 威胁情报分析师 - DFIR 和事件响应团队 - 将检测作为代码实施的安全工程团队 ## 未来增强功能 可能的补充： - 用于规则检查和验证的 CI/CD - 自动 ATT&CK 覆盖率报告 - 检测成熟度评分 - 内容打包和部署流水线 - 威胁到检测的可追溯性仪表板

标签：AMSI绕过, Conpot, DAST, DNS 反向解析, DNS 解析, EDR, HTTP/HTTPS抓包, Mr. Robot, PE 加载器, Windows安全, 后渗透, 威胁情报, 威胁检测, 安全仓库, 安全运营, 开发者工具, 态势感知, 恶意软件分析, 扫描框架, 插件系统, 攻击模拟, 无线安全, 流量嗅探, 红队对抗, 网络安全, 网络安全审计, 脆弱性评估, 隐私保护, 零日漏洞, 驱动签名利用