LouisI299/Detection-Engineering

# 检测工程实习实验室 ## 概述 本仓库包含检测工程实习的正在进行的工作。本项目的目标是构建一个功能性的 SIEM 数据摄取 pipeline，模拟对手行为，并使用 Sigma 标准开发自定义检测规则，以识别默认检测规则覆盖范围中的盲区。 ## 实验室架构 * **SIEM:** Sekoia.io * **端点:** * Windows Server 2022 (Active Directory 域控制器) * Windows 11 Pro (CrowdStrike Falcon 端点) * (SentinelOne 端点) * Entra ID * Fortigate 防火墙 * **攻击者基础设施:** Kali Linux (内部网络) ## 仓库结构 * `/Rules`: 包含所有自定义 Sigma YAML 规则，按数据源分类。 * `/Evidence`: 包含每个被触发规则的执行证明（Sekoia JSON 负载和告警截图）。 * `Backlog.md`: 映射到 MITRE ATT&CK 的 100 多条规则候选的动态跟踪看板。 *免责声明：本仓库是一个受控的教育实验室环境。所有攻击模拟均针对经过授权的、隔离的目标执行。

标签：Active Directory, AMSI绕过, Beacon Object File, Cloudflare, CrowdStrike, EDR, Entra ID, Fortigate防火墙, IP 地址批量处理, MITRE ATT&CK, OPA, PB级数据处理, PE 加载器, Plaso, Sekoia, SentinelOne, Sigma规则, Windows Server 2022, YAML, 域控制器, 威胁检测, 子域名变形, 安全库, 安全运维, 安全运营, 扫描框架, 插件系统, 攻击模拟, 数据展示, 数据管道, 日志遥测, 目标导入, 红队, 网络安全, 网络安全实习, 网络安全实验室, 网络安全审计, 脆弱性评估, 软件工程, 隐私保护, 靶场, 驱动签名利用