Lryas7/blue-team-detection-engineering

# 蓝队检测工程 此仓库包含经过脱敏处理的检测工程示例，主要关注威胁狩猎、云事件响应、端点检测、身份安全以及 SIEM/XDR 调优。 这些检测规则主要以 SIGMA 格式编写，并在适用的情况下映射到 MITRE ATT&CK。部分示例还包含 KQL、SPL 和 Lucene 的狩猎查询。 ## 重要提示 这些规则基于企业安全运营中观察到的一般性对手行为和公开的检测工程模式。不包含任何客户数据、内部指标、专有检测、主机名、用户名、IP 地址、域名、案例 ID、截图或机密细节。 ## 检测领域 - Windows 端点行为 - AWS 云活动 - Microsoft 365 / Exchange Online 活动 - 网络侦察 - SIEM/XDR 调优与误报减少 - 映射到 MITRE ATT&CK 的威胁狩猎假设 ## 仓库结构 ``` sigma/ windows/ cloud/aws/ o365/ network/ hunting-queries/ kql/ spl/ lucene/ docs/ ``` ## 检测理念 每个检测都应回答四个问题： 1. 正在检测的是什么对手行为或风险活动？ 2. 验证该行为需要哪些遥测数据？ 3. 预期会出现哪些误报？ 4. 如何在不丢失可见性的情况下对检测进行调优？ ## 作者 Arol Jimenez

标签：AWS安全, SIGMA规则, Windows终端安全