NiteshVishwakarma219/Threat-Detection-Engineering

# 🚨 威胁检测工程 – SOC 分析员项目    # 📌 概述 本项目聚焦于**检测工程**（Detection Engineering），这是安全运营中心（SOC）的关键职能。 它展示了安全分析员如何使用 SIEM 工具设计并实现检测规则，以识别暴力破解攻击、PowerShell 滥用以及可疑进程执行等恶意活动。 # 🎯 目标 * 开发实际场景的检测规则 * 从日志中识别恶意行为 * 创建告警机制 * 将检测结果映射到 MITRE ATT&CK 框架 # 🧠 什么是检测工程？ 检测工程的过程包括： * 创建用于检测威胁的规则 * 分析日志中的可疑模式 * 提升安全可见性 本项目模拟了 SOC 分析员如何主动检测网络威胁。 # 🧰 使用的工具与技术 * Splunk（SIEM 平台） * Windows 事件日志 * Sysmon 日志 # 🏗️ 项目结构 ``` Threat-Detection-Engineering/ │ ├── detections/ ├── queries/ ├── reports/ ├── screenshots/ └── README.md ``` # ⚙️ 实现的检测 ## 🚨 1. 暴力破解攻击检测 * 检测多次失败的登录尝试 * 使用 Windows 事件 ID 4625 📌 逻辑： 当登录失败次数超过阈值时触发告警 📂 查询： ``` index=wineventlog EventCode=4625 | stats count by src_ip | where count > 5 ``` 📌 MITRE ATT&CK： T1110 – 暴力破解 ## ⚠️ 2. PowerShell 攻击检测 * 检测可疑的 PowerShell 执行 * 使用 Sysmon 日志 📂 查询： ``` index=wineventlog EventCode=1 | search powershell ``` 📌 MITRE ATT&CK： T1059 – 命令执行 ## 🧪 3. 可疑进程检测 * 识别异常进程 📂 查询： ``` index=wineventlog EventCode=1 | stats count by Image ``` 📌 MITRE ATT&CK： T1204 – 用户执行 # 🚨 告警机制 在 Splunk 中配置告警，当满足以下条件时触发： * 达到阈值条件 * 检测到可疑模式 这确保了实时威胁检测。 # 📊 截图 | 描述 | 文件 | | ---- | ---- | | 检测查询 | screenshots/detection1.png | | PowerShell 检测 | screenshots/detection2.png | | 告警 | screenshots/alerts.png | # 📄 检测报告 📂 位置：`/reports/detection-report.md` 包含： * 检测总结 * 使用的技术 * 观察结果 # 🧠 展示的技能 * 检测工程 * SIEM（Splunk） * 日志分析 * 威胁狩猎 * MITRE ATT&CK 映射 # 💼 简历亮点 ✔ 在 Splunk 中开发自定义检测规则，识别暴力破解攻击、基于 PowerShell 的威胁及可疑进程，并映射到 MITRE ATT&CK 技术。 # 🚀 后续改进 * 增加更多检测用例 * 集成威胁情报源 * 自动化检测规则 # ⭐ 结论 本项目展示了在**检测工程**方面的实践经验，展示了使用 SIEM 工具识别、分析和响应网络威胁的能力。 # 🔗 作者 Nitesh Vishwakarma

标签：AMSI绕过, BurpSuite集成, Cloudflare, MITRE ATT&CK, PowerShell检测, Sysmon, Windows事件日志, 事件ID 1, 事件ID 4625, 免杀技术, 可疑进程检测, 告警机制, 威胁检测, 安全可见性, 安全运营中心, 暴力破解检测, 网络映射, 规则开发