tleanne1/detection-engineering-library

# 检测工程库     ## 概述 本仓库包含通过威胁狩猎和应急响应调查开发的威胁检测、KQL 分析、MITRE ATT&CK 映射、调查程序、调优指南和响应建议。 目标是将真实的威胁狩猎发现转化为可操作的检测，并应用于企业安全环境中。 ## 检测类别 ### 数据外发 | 检测 | 描述 | |------------|------------| | Discord Webhook 数据外发 | 检测使用基于 HTTPS 的外发通道向 Discord webhook 进行的未经授权的文件上传。 | ## 技术 - Microsoft Defender XDR - Microsoft Defender for Endpoint - Kusto Query Language (KQL) - MITRE ATT&CK ## 检测开发流程 ``` Threat Hunt ↓ Finding ↓ Detection Logic ↓ KQL Analytics ↓ MITRE Mapping ↓ Tuning ↓ Operational Detection ``` ## 当前检测 ### 数据外发 - [Discord Webhook 数据外发](./Discord-Webhook-Exfiltration) ## 未来检测 ### 数据外发 - SCP 数据外发检测 ### 防御规避 - Linux 日志篡改检测 - Timestomping 检测 ### 持久化 - 计划任务创建检测 - 注册表 Run 键持久化检测 ### 凭据访问 - 凭据转储检测 ## 免责声明 本仓库仅用于教育和防御性网络安全目的。 所有示例均基于授权的实验室环境、威胁狩猎练习、安全研究和模拟攻击场景。 未执行任何未经授权的活动。

标签：KQL, 子域名变形, 安全, 微软Defender, 超时处理