HawkinsOperations/hawkinsoperations-detections

# HawkinsOperations 检测规则 HawkinsOps V2 的检测内容与规则工程。 所有者身份：Raylee Hawkins，检测工程师 | SOC 自动化 | 检测即代码 | 安全自动化。 官方链接：[Raylee Hawkins 的 LinkedIn 主页](https://www.linkedin.com/in/raylee-hawkins) · [Raylee Hawkins 的 GitHub 主页](https://github.com/raylee-hawkins) · [HawkinsOps 检测工程作品集](https://hawkinsops.com) · [HawkinsOperations GitHub 组织](https://github.com/HawkinsOperations) · [RayleeOps 公开运维日志](https://rayleeops.com) ## 目的 本仓库包含作为源内容的检测逻辑。它是面向生产环境安全检测的编写层。 ## 范围 - 检测规则（兼容 Sigma/Wazuh/Splunk 的源文件） - 检测元数据和分类法 - 用于生成检测工件的构建/转换脚本 ## 超出范围 - 运行时平台部署状态 - 特定主机的操作日志 - 仅限内部使用的凭据、端点或基础设施机密 ## 仓库契约 - 真实来源的检测内容存放于此。 - 生成的工件可从源代码中复现。 - 变更必须能通过来自 `hawkinsoperations-validation` 的验证证据进行解释。 ## 公开安全的证明 - 经过脱敏处理的检测示例 - 规则质量检查 - 包含变更理由的变更历史 ## 核心 检测 - `001-powershell-encoded-command` 路径：`detections/hero/001-powershell-encoded-command/` ## 相关仓库 - 验证：`hawkinsoperations-validation` - 平台：`hawkinsoperations-platform` - 证明：`hawkinsoperations-proof` - 网站：`hawkinsoperations-website`

标签：AMSI绕过, Cloudflare, DevSecOps, DNS 反向解析, HawkinsOperations, MITRE ATT&CK, OpenCanary, PFX证书, PowerShell安全, Sigma规则, SOC自动化, Wazuh, 上游代理, 代码化管理, 威胁检测, 安全元数据, 安全工程, 安全测试, 安全规则库, 安全运营, 扫描框架, 攻击性安全, 攻击检测, 检测即代码, 目标导入, 网络安全, 规则映射, 规则调优, 隐私保护