Ashraf3566/security-detection-library

# 安全检测规则库 这是我编写的个人检测规则库，规则使用 KQL 和 SPL 语言编写，并映射到 MITRE ATT&CK 战术。 由我，阿什拉夫·阿瓦伊兹创建，我是一名正从 SOC 分析师转型为网络安全工程师的从业者。 ## 目的 大多数检测规则都存放在 SIEM 内部，团队之外无人可见。这个库使我的检测逻辑变得可见、有据可查且便于移植。 每条规则包含： - 检测查询语句（KQL 或 SPL） - 对应的 MITRE ATT&CK 战术 - 展示警报形态的示例日志 - 调查步骤 - 误报情况考量 ## 规则示例 | 规则 | 战术 | 严重性 | |------|-----------|----------| | 暴力破解登录 | T1110 | 高 | | 可疑的 PowerShell | T1059.001 | 高 | | MFA 滥用 | T1621 | 中 | ## 目录结构 security-detection-library/ ├── rules/ │ ├── brute-force-login/ │ ├── suspicious-powershell/ │ └── mfa-abuse/ └── templates/ └── rule-template.md ## 作者 阿什拉夫·汗·阿瓦伊兹 SOC 分析师 | 埃森哲

标签：AMSI绕过, Cloudflare, KQL查询, MITRE ATT&CK, OpenCanary, SOC分析, SPL查询, URL发现, 事件检测, 威胁检测, 安全检测, 安全运营, 开源安全工具, 扫描框架, 查询语言, 检测规则, 网络安全, 网络资产发现, 规则映射, 误报管理, 调查指南, 逆向工程平台, 隐私保护