Jaysolex/Detection-Content

# 检测内容 ## 企业安全运营检测框架 为企业 SOC 团队提供生产就绪的检测规则、事件响应手册和安全运营文档。 一个全面的检测工程框架，涵盖 32+ 种 MITRE ATT&CK 技术，包含 Sigma 规则、Splunk SPL 查询、Microsoft Sentinel KQL、YARA 特征码、误报减少证据以及事件响应手册。 ## 📁 仓库结构 Detection-Content/ ├── sigma/ Sigma 检测规则 ├── splunk/ Splunk SPL 查询 ├── kql/ Microsoft Sentinel KQL 查询 ├── yara/ YARA 文件扫描规则 ├── evidence/ 误报减少案例研究 ├── playbooks/ 事件响应手册 ├── docs/ 技术文档 └── README.md ## 🎯 MITRE ATT&CK 覆盖范围 ### TA0001 • Initial Access - Office 宏执行 (T1566.001) - LNK 快捷方式滥用 (T1547.009) - CHM 帮助文件执行 (T1218.001) - 暴力破解攻击 (T1110.001) - 钓鱼攻击 (T1566) ### TA0002 • Execution - PowerShell 脚本执行 (T1059.001) - 命令提示符执行 (T1059.003) - WMI 执行 (T1047) - 脚本解释器使用 (T1059) - Windows 脚本宿主 (T1059.005) ### TA0003 • Persistence - 计划任务创建 (T1053.005) - 注册表 Run 键修改 (T1547.001) - 启动文件夹修改 (T1547.004) ### TA0004 • Privilege Escalation - UAC 绕过尝试 (T1548.002) - Token 模拟 (T1134.003) - DLL 注入 (T1055.001) ### TA0005 • Defense Evasion - LOLBin 执行 (T1218) - HTA / mshta.exe 滥用 (T1218.005) - 进程注入 (T1055) - 文件删除/清理 (T1070) - Timestomp 检测 (T1070.006) ### TA0008 • Lateral Movement - 远程服务执行 (T1570) - Pass-the-Hash 检测 (T1550.002) ### TA0011 • Command & Control - DNS 信标 (T1071.004) - HTTP 信标 (T1071.001) **总体覆盖：横跨 7 种战术的 32 项 MITRE 技术** ## 🚀 快速开始 ### 部署到 Splunk 1. 从 `splunk/` 文件夹复制查询 2. 粘贴到 Splunk 搜索栏中 3. 调整时间范围（建议为过去 24 小时） 4. 创建阈值为 > 0 的告警 ### 部署到 Microsoft Sentinel 1. 从 `kql/` 文件夹复制查询 2. 粘贴到 Sentinel 的 KQL 编辑器中 3. 点击运行以进行测试 4. 根据结果创建分析规则 ### 结合 Chainsaw 使用（无 SIEM 威胁狩猎） ``` chainsaw hunt -s sigma/ -e C:\Windows\System32\winevt\Logs ``` ### 使用 YARA 扫描文件 ``` yara yara/*.yar ~/Downloads/ ``` ## 📊 检测质量指标 | 指标 | 数值 | |--------|-------| | 检测覆盖率 | 32 项 MITRE 技术 | | 误报减少率 | 42-93% | | 告警精确度 | 99%+ | | 调查时间缩短 | 35% MTTR | | 事件响应 SLA | 99% 合规 | ## 📖 文档 ### 检测指南 - [CHM 文件检测指南](docs/chm_detection_guide.md) — 使用 Sigma 规则和 EVTX 分析检测武器化的帮助文件（hh.exe 滥用） - [暴力破解检测指南](docs/brute_force_detection_guide.md) — 通过 Event ID 4625 关联检测 RDP/网络密码攻击 - [HTA 文件检测指南](docs/hta_detection_guide.md) — 检测用于恶意软件投递和持久化的 mshta.exe 滥用 ### 面向 SOC 分析师 - 每个文件夹中的快速入门指南 - `playbooks/` 中的事件响应手册 - 示例输出和检测样本 ### 面向安全工程师 - `evidence/` 中的误报调优指南 - `docs/` 中的检测工程方法论 - 适用于 Splunk、Sentinel、Sigma 的 SIEM 集成指南 ## ✓ 核心功能 - 在企业 SOC 环境中测试过的生产就绪检测规则 - 面向各种经验水平分析师的全面文档 - 针对高精确度（99%+）和低误报率进行了调优 - 与 MITRE ATT&CK 对齐，用于威胁映射和覆盖评估 - 多平台支持（Sigma、Splunk、Microsoft Sentinel、YARA） - 包含调查程序的完整事件响应手册 - 基于证据的指标和误报减少案例研究 ## 📈 误报减少证据 ### Office 宏检测案例研究 **初始版本：** 58% 误报 **最终版本：** 4% 误报 **减少幅度：** 通过迭代调优提升了 93% 有关详细的调优方法论，请参阅 `evidence/fp_reduction_case_study.md`。 ## 🔒 数据要求 - **Sysmon：** Event ID 1、3、11、13（进程、网络、文件、注册表事件） - **Windows 事件日志：** Event ID 4688（进程创建） - **PowerShell 日志：** Event ID 4104（脚本块日志记录） - **网络日志：** DNS、HTTP/HTTPS 流量（对于 C2 检测为可选） ## 📦 部署 用于生产部署： - **Splunk：** 参阅 `docs/splunk_deployment.md` - **Microsoft Sentinel：** 参阅 `docs/sentinel_deployment.md` - **Sigma/Chainsaw：** 参阅 `docs/sigma_integration.md` 用于调优和优化： - 参阅 `evidence/` 文件夹获取指标、案例研究和调优指导 ## 👤 作者 **Solomon James** | SOC 分析师与检测工程师 - GitHub: https://github.com/Jaysolex - LinkedIn: https://linkedin.com/in/solomon-james-cyber - Email: solomon.a.james97@gmail.com ## 📄 许可证 MIT License - 可免费使用、修改和分发 **最后更新：** 2026 年 6 月 | **状态：** 生产就绪 | **版本：** 2.0

标签：CSV导出, IP 地址批量处理, KQL, Modbus, SIEM规则, YARA, 云资产可视化, 子域名变形, 安全运营, 库, 应急响应, 扫描框架, 知识库安全