daniele1289/SIEM-Detection-Engineering-Lab

# SIEM-检测-工程-实验室 将来自MITRE ATT&CK框架（如T1059命令与脚本解释器）的5-10种常见攻击技术映射，并在Splunk或Elastic中为每种技术编写检测逻辑。针对每个用例，记录攻击描述、检测规则和预期的警报输出。 # 第一天笔记 什么是SIEM？ - SIEM是“安全信息和事件管理”的缩写，是一种网络安全技术，它提供了一个单一、简化的数据视图，洞察安全活动，并具备操作能力，使您能够领先于您的网络安全威胁。 为什么组织使用SIEM？ - 组织使用SIEM系统实时聚合、分析和监控整个IT基础设施的日志数据。它作为安全团队的中央神经系统，使他们能够从单一平台管理其安全态势。 日志和指标 - 几乎所有程序都以日志的形式发出其程序流程中发生的活动。 - 日志提供了详细、带时间戳的事件记录，对于根本原因分析和审计至关重要。 - 指标捕获随时间推移的结构化数值数据，非常适合跟踪趋势、性能和生成实时警报。 Windows事件ID速查表 4624 - 当创建登录会话时发生此事件。它在访问的计算机上生成，会话在此处创建。（账户成功登录） 4625 - 安全审计日志记录本地Windows系统上的每个失败的登录尝试（在尝试登录的确切计算机上生成） 4688 - 每次在Windows系统上创建新进程时都会生成 4697 - 当系统安装了新服务时发生此事件 7045- 关键系统日志记录在您的计算机上成功安装新服务或驱动程序时（与4697的区别在于，7045是本地系统日志，而4697是安全审计事件） 1102 - 此事件指示Windows安全审计日志被清除 # 第二天笔记 检测工程笔记 什么使一个好的检测？ - 一个好的检测是指能够捕捉到真实对手行为，同时最小化误报，并为分析师提供足够的上下文以便立即采取行动。 误报 - 误报是指

标签：Cloudflare, Elasticsearch, ETW劫持, MITRE ATT&CK, Windows事件, 威胁情报, 安全事件ID, 安全事件管理, 安全信息管理, 安全策略, 开发者工具, 提示词设计, 攻击技术, 日志记录, 检测逻辑