naseeeeef/Soc-Detection-Engineering

# SOC 检测工程 一个专注于使用 Splunk 构建、测试和记录安全检测的动手实践检测工程和威胁狩猎仓库。 本项目旨在通过实际检测开发、日志分析、威胁狩猎、MITRE ATT&CK 映射和调查工作流程来提高蓝队技能。 ## 目标 - 构建现实世界的检测用例 - 提高 SPL（搜索处理语言）技能 - 理解攻击者的技术和行为 - 将检测映射到 MITRE ATT&CK - 开发调查剧本 - 创建公共检测工程作品集 ## 使用工具 - Splunk 企业版 - Sysmon - Windows 事件日志 - MITRE ATT&CK - Atomic Red Team - Sigma 规则 - GitHub ## 检测工作流程 1. 将日志上传到 Splunk 2. 分析原始事件 3. 创建 SPL 检测逻辑 4. 验证检测结果 5. 调查可疑活动 6. 将发现映射到 MITRE ATT&CK 7. 记录调查过程 8. 发布发现和经验教训 ## 检测用例 | 天 | 用例 | MITRE ATT&CK | |------|----------|-------------| | 1 | 可疑 PowerShell 执行 | T1059.001 | | 2 | 多次失败的登录尝试 | T1110 | | 3 | Word 启动 CMD | T1204 | | 4 | Certutil 下载活动 | T1105 | | 5 | Rundll32 滥用 | T1218 | | ... | 更多用例 | 持续进行 | | 60 | 完整勒索软件攻击链 | 多个 | ## 仓库结构 ``` Soc-Detection-Engineering/ │ ├── detections/ │ ├── powershell/ │ ├── brute-force/ │ ├── ransomware/ │ ├── persistence/ │ └── lateral-movement/ │ ├── sigma-rules/ │ ├── threat-hunting/ │ ├── investigation-guides/ │ ├── screenshots/ │ ├── datasets/ │ └── README.md ``` ## 检测模板 每个检测包含： - 威胁概述 - 样本日志 - SPL 查询 - 检测逻辑 - 调查步骤 - 假阳性分析 - MITRE ATT&CK 映射 - 调优建议 - 参考资料 ## 示例检测 ### 可疑 PowerShell 执行 **MITRE ATT&CK:** T1059.001 **检测逻辑** ``` index=main powershell.exe | search "EncodedCommand" OR "DownloadString" OR "IEX" | table _time User ParentProcessName CommandLine ``` **调查重点** - 编码命令 - PowerShell 下载钩子 - 父子进程关系 - 外部连接 - 用户上下文 ## 技能提升 - 检测工程 - 威胁狩猎 - SPL 开发 - 日志分析 - SOC 调查 - MITRE ATT&CK 映射 - 检测调优 - 事件分析 ## 免责声明 所有检测、日志和攻击模拟仅在受控的实验室环境中进行，仅用于教育和研究目的。 ## 作者 Naseef SOC 分析师 | 检测工程学习者 | Splunk | 威胁狩猎 | 信息安全

标签：BurpSuite集成, Cloudflare, DNS解析, MITRE ATT&CK, OpenCanary, Sigma 规则, SPL 查询语言, Sysmon, URL发现, Windows 事件日志, XML 请求, 域名分析, 威胁情报, 安全响应, 安全培训, 安全实践, 安全开发, 安全文档, 安全检测, 安全社区, 安全策略, 安全运营, 开发者工具, 开源项目, 扫描框架, 提示词设计, 搜索语句（dork）, 知识库安全, 管理员页面发现, 红队平台, 网络信息收集