btncwn/Apollo-IR-Detection-Series
GitHub: btncwn/Apollo-IR-Detection-Series
一套包含十个实战项目的事件响应与检测工程学习资源,覆盖从内存取证到紫队模拟的完整安全运营场景,帮助从业者通过动手实践掌握真实应急响应能力。
Stars: 0 | Forks: 0
# Apollo – 事件响应与检测系列
**10 个实战型事件响应与检测工程项目**,助你为真实的安全运营做好准备——从内存取证到紫队模拟。
每个项目包括:
- ✅ 真实的事件场景
- ✅ 逐步调查指南
- ✅ MITRE ATT&CK 映射
- ✅ 脚本 / 查询语句 (PowerShell, KQL, Sigma)
- ✅ 经验教训(哪些有效,哪些无效,以及我会有什么不同的做法)
## 你将学到什么
- 如何使用内存取证 调查**勒索软件攻击**
- 如何从邮件头到 DNS 隧道追踪一次**网络钓鱼活动**
- 如何仅使用 Windows 日志检测**横向移动** (WMI, PsExec)
- 如何使用 KQL 和 Sigma 规则减少 SIEM 中的**误报**
- 如何构建自动化的**违规响应手册** (类 SOAR)
- 如何分析 **Windows 事件日志** (4624, 4688, 4656, 7045)
- 如何使用 Sysmon 寻找**进程注入**和异常行为
- 如何通过 PowerShell ScriptBlock 日志 (Event ID 4104) 检测**无文件恶意软件**
- 如何编写**自定义检测规则** (Sigma, KQL) 并进行测试
- 如何模拟**高级 C2 beacon** (Sliver) 并构建检测机制 (紫队)
## 你将使用的工具
| 类别 | 工具 |
| :--- | :--- |
| **取证** | Volatility, WinPMEM, MFT parser |
| **日志** | Windows Event Viewer, PowerShell ScriptBlock (4104), Sysmon (1,3,13) |
| **检测** | Sigma rules, KQL (Sentinel), YARA |
| **自动化** | PowerShell, Playbooks, SOAR concepts |
| **C2 / 模拟** | Sliver, Cobalt Strike (紫队) |
## 📁 项目概览
| # | 项目 | 重点 | MITRE |
| :--- | :--- | :--- | :--- |
| 1 | 内存取证 – 勒索软件时间线 | Volatility 分析、加密时间线 | T1486 |
| 2 | 网络钓鱼活动调查 | 邮件头、宏、DNS 隧道 | T1566, T1048 |
| 3 | 横向移动检测 | WMI/PsExec、日志关联 | T1021, T1047 |
| 4 | 日志关联与误报减少 | KQL、Sigma 规则、SIEM 调优 | T1059, T1204 |
| 5 | 违规响应手册 (SOAR) | PowerShell 隔离、邮件警报 | T1562, T1078 |
| 6 | Windows 事件日志取证 | 4624, 4688, 4656 分析 | T1110, T1550 |
| 7 | 基于 Sysmon 的进程追踪 | Event ID 1, 3, 13 异常检测 | T1036, T1055 |
| 8 | PowerShell ScriptBlock 日志分析 | Event ID 4104、无文件恶意软件 | T1059, T1027 |
| 9 | SIEM 优化与检测规则 | 自定义 Sigma 规则、Sentinel KQL | T1071, T1059 |
| 10 | 紫队 – 攻击与检测 | Sliver beacon 模拟、检测工程 | T1071, T1059 |
## 附加内容 – 统一指挥中心
| 组件 | 描述 |
| :--- | :--- |
| **Web 仪表板** | Flask + Bootstrap – 列出事件、隔离主机、生成报告 |
| **集成** | 连接所有 10 个 Apollo 项目 |
| **用途** | 事件响应工作流的中央枢纽 |
## 📜 许可证
**仅供教学使用** – 未经许可,请勿部署在生产系统上。
*每个项目的设计初衷都是为了让你去调查、自动化和理解——而不仅仅是阅读。*
标签:AI合规, API接口, C2检测, CISA项目, Cloudflare, Cobalt Strike, CSV导出, DNS隧道, EDR绕过检测, IPv6, IP 地址批量处理, KQL, Kusto查询语言, MITRE ATT&CK, PE 加载器, PowerShell, PsExec, SecList, SIEM优化, Sigma规则, Sliver, SOAR, SSH蜜罐, Sysmon, Windows事件日志, WMI, YARA, 云资产可视化, 内存取证, 动手实践项目, 勒索软件攻击, 安全工程师培训, 安全攻防, 安全脚本编写, 安全规则编写, 安全运营, 安全运营中心, 安全防护策略, 库, 应急响应, 微隔离, 扫描框架, 提示词注入, 搜索语句(dork), 攻击诱捕, 数字取证, 无文件恶意软件, 日志关联分析, 模拟器, 横向移动, 漏洞修复, 目标导入, 知识库安全, 紫队模拟, 编程规范, 网络信息收集, 网络安全, 网络安全培训, 网络映射, 自动化响应剧本, 自动化脚本, 蓝队建设, 进程注入, 隐私保护