yusufefil/detection-engineering-portfolio

# 检测工程作品集 所有内容均**经过清理**：不含客户姓名、真实IP地址，以及任何会暴露租户特定配置的生产规则逻辑。示例若源自真实案例，其识别信息已替换为RFC 1918 / RFC 5737地址和通用占位符。 ## 关于我 我是Yusuf Efil，一名SOC L2分析师兼检测工程师，主要工作于IBM QRadar平台，目前正拓展Microsoft Sentinel / KQL以及基于Sigma的代码化检测（Detection-as-Code）技能。已获OSDA认证（OffSec）。常驻土耳其，接受远程职位。 - 领英 — `[linkedin.com/in/yusufefil]` - 电子邮箱 — `yusufefil@outlook.com` ## 内容结构 | 文件夹 | 内容说明 | |---|---| | [`sigma/`](./sigma) | 按MITRE ATT&CK战术分类的Sigma规则，附带测试说明与误报考量 | | [`qradar/`](./qradar) | QRadar AQL查询、CRE规则模式（仅逻辑——不含租户配置）及自定义事件属性示例 | | [`kql/`](./kql) | Microsoft Sentinel KQL查询（进行中——正在学习） | | [`tools/`](./tools) | 检测工程工具链——包含`sigma_to_splunk`转换流程 | | [`writeups/`](./writeups) | 端到端调查报告：攻击链 → 遥测数据 → 检测 → 响应 | | [`docs/`](./docs) | ATT&CK覆盖图、方法论与数据清理策略 | ## 覆盖概览 完整MITRE ATT&CK覆盖表详见[`docs/attack-mapping.md`](./docs/attack-mapping.md)。简要摘要： | 战术 | Sigma | QRadar | KQL | |---|---|---|---| | 初始访问 | — | 1 | — | | 执行 | 1 | — | — | | 凭据访问 | 1 | — | — | 随新内容添加持续更新。目标是广度优先于速度——少量经过充分测试、记录了误报行为的规则，胜过数十条未经测试的规则。 ## 我的检测编写方法 简要版本，详见[`docs/methodology.md`](./docs/methodology.md)： 1. **从技术而非告警出发**。选定一个MITRE ATT&CK子技术，阅读过程示例，然后映射能暴露该技术的遥测数据。 2. **针对真实遥测数据编写查询**。使用实验室环境（Windows 10 + Sysmon + Splunk/Sentinel）或清理后的生产样本。 3. **记录误报特征**。每条规则至少附带一个已知误报场景及调优建议。 4. **明确映射至ATT&CK**。技术ID、子技术ID及所用数据源。 5. **所有内容进行版本控制**。每条规则均有`status`字段（`experimental` / `test` / `stable`）。 ## 数据清理策略 此代码库中的所有内容均未直接从客户环境复制。每条规则、查询和报告均经过以下处理： - 剥离了租户标识符、资产名称和内部主机名 - 基于实验室遥测数据或通用数据（RFC 1918 / RFC 5737 / `example.com`）重新锚定 - 在提交前已根据[清理清单](./docs/methodology.md#sanitization-checklist)审核 如果您发现任何疑似可识别信息，请提交issue——我会立即修复。 ## 许可证 MIT——详见[`LICENSE`](./LICENSE)。欢迎自由使用，感谢注明出处。

标签：AMSI绕过, Detection-as-Code, IBM QRadar, KQL查询, Microsoft Sentinel, MITRE ATT&CK映射, QRadar查询, Sigma规则, SOC分析师, 假阳性分析, 威胁情报, 威胁检测, 安全运营中心, 开发者工具, 攻击链分析, 查询语言, 检测规则库, 目标导入, 网络安全, 网络映射, 自定义事件属性, 规则开发, 调查报告, 隐私保护