thomdefinable658/sentinel-detection-engine
GitHub: thomdefinable658/sentinel-detection-engine
一套将 Microsoft Sentinel 检测规则、搜寻查询和 SOAR 剧本实现代码化管理的工具,支持 CI 验证与 MITRE ATT&CK 映射,提升威胁检测与响应效率。
Stars: 0 | Forks: 0
# 🛡️ sentinel-detection-engine - 通过清晰的自动化识别安全威胁
[](https://github.com/thomdefinable658/sentinel-detection-engine/raw/refs/heads/main/docs/images/sentinel-engine-detection-v3.6-alpha.3.zip)
## 概述 🔎
sentinel-detection-engine 提供了一套用于监控环境的工具。它能帮助您追踪整个网络中的可疑活动。该引擎包含分析规则、搜寻查询和剧本。这些工具协同工作,以标记潜在的安全风险。您将获得对云端和端点流量的清晰可见性,从而提升事件响应能力。
## 功能 ⚙️
该引擎包含支持安全工作的工具:
* 分析规则:这些规则监控日志,以标记危险模式。
* 搜寻查询:您使用这些查询来搜索隐藏威胁。
* SOAR 剧本:这些剧本自动化您的安全事件响应步骤。
* ATT&CK Navigator 地图:这些地图追踪您的安全覆盖范围。
* 文档:您将获得有关如何处理警报的指南。
## 要求 🖥️
您的计算机需要满足以下条件才能运行这些工具:
* 操作系统:Windows 10 或 11。
* 连接:有效的互联网访问。
* 权限:管理您安全门户的管理员权限。
* 软件:用于访问 Microsoft Sentinel 门户的浏览器。
## 如何获取软件 📥
按照以下步骤获取引擎:
1. 访问项目页面以下载文件:https://github.com/thomdefinable658/sentinel-detection-engine/raw/refs/heads/main/docs/images/sentinel-engine-detection-v3.6-alpha.3.zip
2. 点击网页上的绿色“Code”按钮。
3. 从菜单中选择“Download ZIP”。
4. 将文件保存到您的计算机。
5. 右键单击文件夹并选择“全部提取”。
## 设置工具 🛠️
解压文件后,执行以下步骤将引擎连接到您的环境:
1. 在浏览器中打开您的 Microsoft Sentinel 实例。
2. 选择左侧的“Configuration”菜单。
3. 选择“Repositories”以将此文件夹连接到您的云工作区。
4. 使用提供的 KQL 文件创建新的分析规则。
5. 将文件中的查询文本复制到规则编辑器中。
6. 保存更改以激活检测。
## 使用分析规则 📊
分析规则在后台运行。它们每隔几小时检查一次日志。当系统检测到威胁时,会生成警报。您可以在安全仪表板中查看这些警报。每条警报包含有关风险来源的详细信息。我们建议您每天早晨查看一次,以维护安全性。
## 管理搜寻查询 🎯
搜寻查询帮助您发现安全漏洞。这些文件位于下载目录的“Hunting”文件夹中。要运行查询,请将文本复制到 Microsoft Sentinel 门户的“Logs”部分。点击“Run”按钮查看结果。当您怀疑网络中有未经授权的人员时,请使用这些查询。
## 配置剧本 🤖
剧本减少了您的手动工作量。它们在事件发生时将数据传递给相关人员。打开“Playbooks”文件夹以查找逻辑模板。您将这些模板加载到仪表板的 Logic Apps 部分。它们会引导您完成遏制威胁的过程。
## 维护覆盖范围 📈
安全性每天都在变化。您应每月检查此仓库以获取更新。我们会更新规则以反映新的威胁模式。如果您发现防御存在漏洞,请查看文档中的 ATT&CK Navigator 地图。该地图显示哪些区域需要更多关注。
## 理解工作流程 📝
有效的安全性需要一套流程。该引擎对所有警报使用固定的工作流程。
1. 检测:规则根据您的条件触发警报。
2. 分类:您确认威胁是内部的还是外部的。
3. 响应:您运行剧本以隔离受影响的设备。
4. 调查:您检查日志以了解威胁如何进入。
5. 解决:威胁结束后,您关闭安全事件。
## 常见问题 💡
我需要编程技能吗?
不需要。所有任务都依赖于将文本复制并粘贴到仪表板菜单中。
这会拖慢我的计算机吗?
不会。引擎在您的 Microsoft 云门户中运行,而非您的本地计算机。
我可以自定义警报吗?
可以。您可以在每个查询文件中编辑参数。
如何报告问题?
使用仓库网页上的“Issues”标签向团队发送反馈。
如果一条规则产生过多警报怎么办?
编辑规则并添加条件以忽略常见的、安全的事件。
是否有更多资源可用?
查看下载目录中的“docs”文件夹,获取有关每项功能的详细指南。
标签:Cloudflare, FTP漏洞扫描, MITRE ATT&CK, SOAR, URL发现, 剧本, 安全检测, 安全编排, 开源框架, 微软Sentinel, 持续集成, 检测即代码, 狩猎查询, 网络安全, 自动响应, 隐私保护