antonio-1313/detection-engineering-portfolio

# 检测工程作品集 ## 关于 这是一个活跃的检测工程实验室——而不是一个课程项目。我通过使用 Atomic Red Team 模拟真实的对手技术，在 Elastic Security 中捕获原始遥测数据，编写 Sigma 规则，并将它们分别转换为 EQL 和 Kusto KQL，以适用于 Elastic 和 Sentinel/Chronicle。每份报告都包含原始遥测数据、检测逻辑、误报调优，以及对攻击者如何规避该规则的诚实分析。其目标是记录完整的检测生命周期，展示其在真实 SOC 或检测工程角色中的运作方式。 ## 检测状态 | MITRE ID | 技术 | 平台 | 状态 | |----------|-----------|----------|--------| | [T1059.001](detections/T1059.001-powershell/) | PowerShell 执行 | Windows | 进行中 | ## 技术栈 | 层级 | 工具 | |-------|------| | SIEM | Elastic Stack 8.13 (Docker on Mac) | | EDR 遥测 | Elastic Agent 8.13.0 + Fleet | | Sysmon 配置 | SwiftOnSecurity `sysmonconfig-export.xml` | | PowerShell 日志 | 脚本块日志 + 模块日志 (GPO) | | 对手模拟 | Atomic Red Team via `Invoke-AtomicRedTeam` | | 规则格式 | Sigma (主要) | | SIEM 转换 | EQL (Elastic Security) · Kusto KQL (Sentinel / Google SecOps) | ## 仓库布局 ``` detection-engineering-portfolio/ ├── detections/ # One folder per MITRE technique │ └── T1059.001-powershell/ │ ├── README.md # Full 10-section detection writeup │ ├── sigma.yml # Tuned Sigma rule │ ├── eql-query.txt # EQL translation (Elastic, lab-tested) │ ├── kql-query.txt # Kusto KQL (Sentinel / Google SecOps) │ └── screenshots/ # Kibana screenshots ├── templates/ │ └── detection-writeup-template.md ├── lab-setup/ │ └── elastic-sysmon-setup.md ├── aws-detection-pipeline/ │ └── README.md # Serverless detection pipeline on AWS └── lab-journal.md # Running log of setup decisions and errors ``` ## 链接 - 作品集：[antonio-lopez.netlify.app](https://antonio-lopez.netlify.app) - GitHub：[github.com/antonio-1313](https://github.com/antonio-1313)

标签：Atomic Red Team, Azure Sentinel, Cloudflare, EDR, Elastic Security, EQL, Kusto KQL, MITRE ATT&CK, MIT许可证, OpenCanary, PowerShell安全, Sigma规则, Sysmon, 免杀分析, 安全可视化, 安全实验室, 安全开源项目, 安全蓝队, 安全运营, 对手仿真, 扫描框架, 攻击模拟, 数据泄露检测, 漏洞利用检测, 目标导入, 网络安全, 网络安全实验, 脆弱性评估, 规则编写, 误报调优, 请求拦截, 隐私保护, 驱动签名利用