two-hills/detection-rules

# 检测规则 检测工程作品集。我是一名拥有 20 多年 基础设施和 Cisco 安全经验的安全架构师，目前正在向实操检测 工程和 AI/Agent 安全领域转型。本仓库记录了我在学习过程中所构建的内容。 ## 重点领域 - **云检测** — AWS、Azure（CloudTrail、Activity Logs、IAM 模式） - **Kubernetes 与容器** — Falco 规则、k8s 审计日志检测 - **端点与身份** — Windows 事件日志、sysmon、身份提供商滥用 - **AI/Agent 安全** — 针对 LLM 和 Agent 滥用的新兴检测模式 ## 结构 - `/sigma` — Sigma 规则（与供应商无关） - `/kql` — Microsoft Sentinel / Defender KQL 查询 - `/spl` — Splunk SPL 查询 - `/falco` — 用于 Kubernetes 运行时检测的 Falco 规则 - `/python` — 自动化脚本（富化、SOAR 风格工作流） - `/notes` — 学习笔记、威胁模型、分析文章 ## 关于我 20 年以上的基础设施与安全经验。持有 CISSP、CRISC、CCNP、AWS Security Specialty、 DevNet 认证。目前就职于 Cisco。正致力于 AI 安全领域的 D&R（检测与响应）职位。 LinkedIn: https://linkedin.com/in/teerapong ## 状态 始于 2026 年 5 月。正在积极学习中，预期早期规则会有不足之处。

标签：Agentic AI, AMSI绕过, AWS CloudTrail, Azure活动日志, Chrome Headless, CISSP, EDR, Falco, IAM滥用检测, KQL, Kubernetes安全, Modbus, Python安全脚本, Sigma规则, SOAR自动化, Splunk SPL, Sysmon, Web截图, Windows事件日志, 人工智能安全, 合规性, 大模型安全, 威胁建模, 威胁检测, 子域名变形, 安全仓库, 安全开源项目, 安全架构, 安全研究员, 安全运营, 容器安全, 微软Sentinel, 扫描框架, 敏感词过滤, 目标导入, 端点安全, 紫队, 网络安全, 脆弱性评估, 补丁管理, 身份安全, 逆向工具, 隐私保护