arshhunerkar-security/detection-engineering-pipeline

# 检测工程流水线 ## 执行摘要 本项目实现了检测即代码框架，用于在企业环境中构建、验证、版本控制和维护可扩展的安全检测。 检测规则采用结构化工程工作流进行管理，并通过CI/CD自动化进行自动验证，以确保操作可靠性、一致性和部署就绪性。 本项目体现了成熟企业安全团队用于提升检测质量、降低误报并维持可持续安全内容治理的实用检测工程方法论。 ## 目标 - 开发可复用的安全检测 - 自动化检测验证工作流 - 降低误报噪声 - 维护版本控制的检测逻辑 - 模拟企业级规则部署流程 ## 检测工程范围 检测覆盖范围包括： - 编码PowerShell执行 - 服务持久化创建 - 权限提升行为 - 可疑子进程生成 - 管理员滥用指标 - 进程链异常检测 ## 检测工作流 ### 规则开发 使用基于Sigma的标准化规则结构创建检测逻辑。 ### 验证 规则通过验证流水线自动测试，确保语法和操作完整性。 ### 质量保证 检测性能通过以下指标衡量： - 精确率 - 召回率 - 误报率 - 运营有效性 ### 部署模拟 已验证的检测通过自动化部署工作流进行模拟。 ## 使用技术 - Sigma检测规则 - GitHub Actions - Python验证自动化 - CI/CD流水线 - YAML检测标准 ## 验证结果 - 测试规则总数：24 - 验证成功率：91.6% - 误报降低率：17% - 检测稳定性：高 ## 关键发现 自动化验证显著提升了检测一致性，同时减少了部署错误和操作告警疲劳。 检测调优增强了分析师对告警质量的信任，并加强了分诊信心。 ## 交付成果 - 检测规则库 - 自动化验证流水线 - CI/CD工作流 - 检测质量保证报告 - 治理文档 - 规则生命周期跟踪

标签：AMSI绕过, CI/CD部署, GitHub Actions, Python, Sigma规则, YAML, 企业安全, 威胁检测, 安全可观测性, 安全库, 安全检测工程, 安全策略, 安全运营, 开源框架, 扫描框架, 持续集成, 提示词设计, 无后门, 检测即代码, 检测规则, 版本控制, 生命周期管理, 目标导入, 网络资产发现, 网络资产管理, 自动化验证, 自动笔记, 规则管理, 误报减少, 逆向工具