zshanhyder01/Detection-Engineering

# 检测工程 ## 目录 1. [什么是检测工程](#what-is-detection-engineering) 2. [本仓库介绍](#introduction-to-this-repository) 3. [原子规则](#atomic-rules) 4. [关联规则](#correlation-rules) 5. [规则使用与调优说明](#rule-usage--fine-tunning-notes) ## 什么是检测工程 检测工程是指设计、构建、测试和维护检测逻辑，以识别环境中的恶意或可疑活动的实践。它在现代网络安全中发挥着关键作用，使组织能够主动检测威胁，而不仅仅是对事件做出反应。 核心而言，检测工程侧重于回答两个关键问题： 为什么要检测？ — 理解攻击者行为，通常受 MITRE ATT&CK 等框架的指导，这些框架对对手的策略和技术进行了分类。 如何检测？ — 使用日志、遥测和分析来实现识别这些行为的逻辑。 ### 为什么它很重要？ 提高对攻击者活动的可见性 减少威胁驻留时间 实现更快、更准确的事件响应 弥合威胁情报和安全运营之间的差距 ## 本仓库介绍 本仓库旨在提供实用的、即用型的检测内容，并与 MITRE ATT&CK 框架保持一致。 它涵盖了映射到策略（即“为什么”）的常用技术（即“如何”） 每种技术都包含检测规则，以帮助识别对手行为 目标是使检测工程具有可操作性、标准化和可复用性。 对于每条规则（原子规则或关联规则），你将找到： ### SIGMA 规则（标准格式） 一种与供应商无关的规则格式，可以转换为针对不同 SIEM 平台的查询。 ### Elastic EQL 规则（快速测试） 提供用于在 Elastic 环境中进行快速验证和测试。 ## 原子规则 原子规则是简单的、单事件检测，用于单独识别特定活动或行为。它们是检测工程的构建块。这些规则通常： 关注一个日志源 检测单个条件或事件 易于测试和验证 ### 示例 ### 场景：检测执行带有编码命令的 PowerShell ### SIGMA（简化版）： title: 可疑的 PowerShell 编码命令 logsource: product: windows category: process_creation detection: selection: Image: '*powershell.exe' CommandLine: '*-enc*' condition: selection 当 PowerShell 使用编码参数执行时，此规则会触发，这通常用于混淆。 ## 关联规则 关联规则结合跨时间、用户或系统的多个事件，以检测更复杂的攻击模式。它们用于： 识别多步骤攻击 减少来自孤立事件的误报 提供更高置信度的检测 ### 示例 ### 场景：检测潜在的账户入侵 逻辑： 多次失败的登录尝试 随后是一次成功的登录 来自同一用户且在短时间内 ### 伪检测逻辑： IF failed_logins > 5 AND successful_login occurs within 5 minutes AND same user THEN alert "Possible Brute Force Success" 此类规则关联多个信号，以识别从单个事件中无法明显看出的可疑行为。 ## 规则使用与调优说明 本仓库旨在帮助安全从业者： 构建强大的检测能力 深入理解攻击者技术 快速部署和调整检测逻辑 检测工程不是一次性工作——它是一个持续改进的循环。请以此仓库为基础，并根据您的环境进行调整，以实现最大效果。 SIGMA 规则转换在很大程度上取决于您的环境，包括： 日志源的可用性 日志解析和标准化 字段命名约定 ### 你应该： 遵循本仓库中的调优指南 根据你的 SIEM 架构调整规则 根据真实数据验证检测 开箱即用的规则可能无法在没有定制的情况下完美运行。

标签：AMSI绕过, Cloudflare, Elastic EQL, MITRE ATT&CK, SIGMA 规则, URL发现, 关联规则, 原子规则, 告警规则, 威胁情报, 威胁检测, 子域枚举, 安全检测, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 网络安全, 遥测, 隐私保护