dfir-g0blin/Detection-Engineering-Portfolio

# 🛡️ 检测工程与威胁狩猎作品集 **作者：** Edward Trimble (@dfir-g0blin) | **职位：** 高级安全工程师，CIRT 负责人 欢迎来到我的作品集。本仓库包含了一系列经过精心整理和脱敏的检测逻辑、威胁狩猎 playbook 以及我为大规模企业环境（10 万+终端，每周 200TB 日志量）设计的 AI 辅助安全自动化方案。 ## 🧠 亮点：LLM “威胁狩猎利器” 位于 `/LLM_Threat_Hunting_Gem/` 一个利用 LLM 架构来加速事件响应的定制化工具。 * **应用场景：** 将原始网络威胁情报 (CTI) 自动解析为可操作的狩猎参数。 * **影响：** 大幅缩短平均分诊时间 (MTTT)，并使复杂的事件响应 (IR) 报告标准化，以供高管层审阅。 ## 🎯 检测工程 (Sigma / YARA-L / SPL) 位于 `/Detection_Engineering/` 为狩猎高级持续性威胁 (APT) 和零日漏洞利用而设计的高保真检测逻辑。侧重于在最大限度地减少误报的同时，保持对混合云环境 的深度可见性。 * **CVE-2026-20182 (Cisco SD-WAN)：** 用于检测身份验证绕过尝试的定制逻辑。 * **供应链妥协：** 映射至 MITRE ATT&CK 的检测规则，针对第三方供应商风险。 ## ⚙️ SOAR 与自动化 位于 `/Automation_Playbooks/` 旨在将 SIEM/EDR 告警转化为自动遏制和证据收集的 playbook 与脚本。

标签：AI安全, APT, Azure, C2, Chat Copilot, CISA项目, EDR, GCP, LLM, MTTT, Sigma规则, SOAR, SPL, Unmanaged PE, YARA-L, 企业安全, 威胁情报, 子域枚举, 安全作品集, 安全工程, 安全脚本, 安全运营, 开发者工具, 开源性项目, 扫描框架, 文档安全, 混合云, 目标导入, 网络安全, 网络资产管理, 脆弱性评估, 自动化响应, 逆向工具, 隐私保护, 零日漏洞, 高级持续性威胁