faizan-detection/faizan-detection-engineering

# 检测工程 这个仓库用于存放我在从事 SIEM、检测工程和 SOC 运营工作时构建和实验的检测规则。 重点在于编写在真实环境中**真正有用**的检测规则——不仅是技术上正确，还要实用且可调整。 ## 关于 我从事 SIEM 工程和检测工作已有数年，主要围绕： * 构建和调整检测规则 * 日志接入与标准化 * 减少告警噪音 * 帮助 SOC 团队更快调查 这个仓库本质上是我这项工作的延伸。 ## 你可以在这里找到 * Sigma 规则（作为基础层） * Microsoft Sentinel 查询，有时也包括其他 SIEM * 检测存在的原因说明 * 调整建议与边界情况 ## 我的检测方法 我通常从**行为**出发，而不是签名。 * 攻击者想做什么？ * 什么日志能反映这些行为？ * 在嘈杂的环境中这会是什么样子？ 接着我会尝试： * 保持检测简单 * 减少明显的误报 * 让调查更易进行 ## 结构 * `detections/` → 主要检测逻辑（Sigma） * `converted/` → SIEM 特定查询 * `docs/` → 笔记、调整说明与上下文 * `tests/` → 样本日志（仍在建设中） ## 持续进行的工作 * 使用测试日志进行更好验证 * 自动化 Sigma 到 SIEM 的转换 * 改进调整策略 ## 这个仓库存在的原因 主要是为了： * 保持内容有条理 * 改进我设计检测的方式 * 并分享一些具体成果 如果你从事类似问题，或有更好的检测逻辑设计思路，欢迎联系或提出改进建议。

标签：Alert Tuning, Behavior-based Detection, Detection Design, Edge Cases, Investigation Efficiency, Log Normalization, Microsoft Sentinel, Sigma规则, Tuning, 告警降噪, 子域枚举, 安全运营, 开源安全工具, 扫描框架, 日志归一化, 检测优化, 检测开发, 目标导入, 行为检测, 调查加速, 逆向工程平台