ppratyush09/Detection-Engineering-Portfolio
GitHub: ppratyush09/Detection-Engineering-Portfolio
一个检测工程师的个人实操作品集仓库,汇集了 Sigma、KQL、YARA、Suricata 检测规则的编写实践、威胁狩猎查询及实验室验证报告。
Stars: 1 | Forks: 0
# 检测工程师作品集
本仓库包含我的检测工程实操练习,包括检测规则、狩猎查询、实验室笔记、验证报告以及检测即代码的学习记录。
## 重点领域
* Sigma 规则编写
* Microsoft Sentinel KQL 狩猎查询
* YARA 规则开发
* Suricata 网络检测规则
* Windows 攻击行为检测
* 威胁狩猎与事件响应用例
* 在家庭实验室中进行检测验证
* 基于 GitHub 的检测即代码实践
## 仓库结构
| 文件夹 | 用途 |
| -------------------- | ------------------------------------------------------ |
| `docs/` | 实验室笔记、架构、学习日志和参考资料 |
| `sigma/` | Sigma 检测规则 |
| `kql/` | Microsoft Sentinel / Defender 狩猎查询 |
| `yara/` | 用于文件和恶意软件模式检测的 YARA 规则 |
| `suricata/` | Suricata IDS 规则 |
| `reports/` | 检测报告和研究笔记 |
| `tests/` | 测试事件、验证笔记和安全测试数据 |
| `.github/workflows/` | 未来的 CI/CD 验证工作流 |
## 当前实验室目标
本仓库的目标是通过实际的实验室工作、规则开发、验证和清晰的技术报告,记录我成为一名更优秀的检测工程师的历程。
## 安全提示
本仓库中的所有内容仅供教育和实验室使用。
这里不会上传任何公司数据、客户数据、专有检测、凭据、私人日志或真实的恶意软件样本。
## 当前状态
本仓库正在积极开发中。最初的重点是 Windows 进程创建检测、PowerShell 行为、发现活动以及勒索软件前期检测逻辑。
## 作者
Pratyush Pritimay
标签:KQL, Metaprompt, Sigma规则, Suricata, YARA, 云资产可视化, 安全运营, 扫描框架, 插件系统, 现代安全运营, 目标导入