RedNode-Security/cybersecurity-engineering-handbook

# 网络安全工程手册 [](https://github.com/RedNode-Security/cybersecurity-engineering-knowledge-base/actions/workflows/validate.yml) [](https://github.com/RedNode-Security/cybersecurity-engineering-knowledge-base/actions/workflows/markdown-check.yml) 一个专业的网络安全工程知识库，用于记录安全笔记、CVE 分析、IOC 样本、检测工程、事件响应、架构 模式以及自动化思路。 ## 目的 本仓库旨在作为： - 个人网络安全知识库 - 安全工程思维的公开作品集 - 针对 CVE、IOC、检测和威胁情报的研究仓库 - 防御性和对手视角的安全工程文档系统 - 未来自主安全系统的基础 ## 范围 本仓库专注于防御性、教育性和研究导向的内容： - 安全基础与架构 - 蓝队运营、事件响应、威胁狩猎与检测工程 - 授权的红队方法论与攻击者心智模型 - 威胁情报、IOC 管理与 CVE 跟踪 - 云、应用与 AI 安全 - 面向 SIEM、SOAR、数据富化与安全工作流的自动化模式 有关发布边界，请参阅 [`_meta/content-safety-policy.md`](_meta/content-safety-policy.md)。 ## 仓库导航图 | 领域 | 目的 | |---|---| | [`00-Fundamentals`](00-Fundamentals/) | 核心概念、原则、OS 安全、网络、密码学、风险 | | [`01-Red-Team`](01-Red-Team/) | 授权的对手模拟方法论与评估规划 | | [`02-Blue-Team`](02-Blue-Team/) | SOC 运营、IR、威胁狩猎、检测工程、恶意软件分类 | | [`03-Threat-Intelligence`](03-Threat-Intelligence/) | IOC、威胁画像、OSINT、恶意软件跟踪、CVE 情报 | | [`04-Cloud-Security`](04-Cloud-Security/) | AWS、Azure、Kubernetes、云 IR、身份与态势管理 | | [`05-Application-Security`](05-Application-Security/) | API、JWT、OAuth、安全编码、SDLC、应用安全测试 | | [`06-AI-Security`](06-AI-Security/) | LLM 安全、Prompt 注入、RAG 安全、AI SOC 架构 | | [`07-Security-Automation`](07-Security-Automation/) | Mini SIEM、SOAR 工作流、富化 pipeline、自动化模式 | | [`08-Architecture`](08-Architecture/) | Zero Trust、XDR、SOC、自主安全系统、设计模式 | | [`09-Resources`](09-Resources/) | 书籍、工具、参考资料、实验室、数据集、检查清单 | | [`99-Templates`](99-Templates/) | 笔记、CVE、IOC、检测、Playbook、实验室、ADR 模板 | | [`schemas`](schemas/) | 用于结构化样本的轻量级 schema | | [`scripts`](scripts/) | 用于验证和生成索引的辅助脚本 | ## 精选详细起点 ### 基础 - [`安全工程原则`](00-Fundamentals/security-engineering-principles.md) - [`网络安全基础`](00-Fundamentals/Network-Security/network-security-foundations.md) - [`Windows 事件日志`](00-Fundamentals/Windows-Security/windows-event-logging.md) - [`Linux 加固与日志`](00-Fundamentals/Linux-Security/linux-hardening-and-logging.md) ### 蓝队与检测工程 - [`检测工程方法论`](02-Blue-Team/Detection-Engineering/detection-engineering-methodology.md) - [`检测规则示例`](02-Blue-Team/Detection-Engineering/detection-rule-examples.md) - [`Windows 身份验证检测`](02-Blue-Team/Detection-Engineering/windows-authentication-detection.md) - [`SOC 告警分诊工作流`](02-Blue-Team/SOC-Operations/soc-alert-triage.md) - [`账号失陷 IR Playbook`](02-Blue-Team/Incident-Response/account-compromise-playbook.md) - [`账号失陷案例示例`](02-Blue-Team/Incident-Response/example-account-compromise-case.md) ### 威胁情报、云、AppSec、AI 与自动化 - [`CVE 分诊工作流`](03-Threat-Intelligence/CVE-Intelligence/cve-triage-workflow.md) - [`CVE 评分工作表`](03-Threat-Intelligence/CVE-Intelligence/cve-scoring-worksheet.md) - [`AWS CloudTrail 检测示例`](04-Cloud-Security/AWS-Security/aws-cloudtrail-detection-examples.md) - [`API 威胁模型示例`](05-Application-Security/API-Security/api-threat-model-example.md) - [`Prompt 注入评估示例`](06-AI-Security/LLM-Security/prompt-injection-evaluation-examples.md) - [`RAG 安全检查清单`](06-AI-Security/RAG-Security/rag-security-checklist.md) - [`富化工作流示例`](07-Security-Automation/example-enrichment-workflow.md) - [`自主 SOC 参考模型`](08-Architecture/autonomous-soc-reference-model.md) ## 精英工程路线 这些路线旨在使本仓库达到作品集级别，并具备实际运营价值。 | 路线 | 从这里开始 | 产出 | |---|---|---| | 检测即代码 | [`检测工程运营模型`](02-Blue-Team/Detection-Engineering/detection-engineering-operating-model.md) | 经过测试的检测库 | | SOC 质量 | [`SOC 指标与质量模型`](02-Blue-Team/SOC-Operations/soc-metrics-and-quality-model.md) | 月度 SOC 质量报告 | | 云 IR | [`AWS 事件响应 Playbook`](04-Cloud-Security/AWS-Security/aws-incident-response-playbook.md) | 云失陷响应工作流 | | AppSec 架构 | [`OAuth 与 JWT 安全深度剖析`](05-Application-Security/OAuth-JWT/oauth-jwt-security-deep-dive.md) | API 认证审查检查清单 | | AI 代理安全 | [`Agent 工具使用控制模型`](06-AI-Security/Agent-Security/agent-tool-use-control-model.md) | 工具审批与审计模型 | | 安全架构 | [`检测与响应参考架构`](08-Architecture/detection-response-reference-architecture.md) | 端到端安全运营设计 | ## 出版计划 本仓库正逐步发展为一部参考级百科全书。发布系统记录如下： - [`PUBLISHING.md`](PUBLISHING.md) - [`REFERENCE_GRADE_ROADMAP.md`](REFERENCE_GRADE_ROADMAP.md) - [`参考级内容标准`](_meta/reference-grade-standard.md) - [`编辑风格指南`](_meta/editorial-style-guide.md) - [`来源与引用政策`](_meta/source-and-citation-policy.md) - [`人工审查检查清单`](_meta/human-review-checklist.md) 模型参考页面： - [`密码喷射检测`](02-Blue-Team/Detection-Engineering/reference-password-spray-detection.md) - [`账号失陷响应`](02-Blue-Team/Incident-Response/reference-account-compromise-response.md) - [`CVE-2021-44228 Log4Shell`](03-Threat-Intelligence/CVE-Intelligence/cve-2021-44228-log4shell-reference.md) - [`CloudTrail IAM 检测`](04-Cloud-Security/AWS-Security/reference-cloudtrail-iam-detection.md) - [`失效的对象级授权`](05-Application-Security/API-Security/reference-broken-object-level-authorization.md) - [`Prompt 注入防御`](06-AI-Security/LLM-Security/reference-prompt-injection-defense.md) ## 文档标准 每篇实质性文档都应回答以下问题： 1. 它是什么？ 2. 为什么它很重要？ 3. 它是如何工作的？ 4. 攻击者如何滥用它？*（仅限授权和教育背景）* 5. 防御者如何检测它？ 6. 如何将其自动化或投入运营？ 7. 哪些示例、日志样本、伪代码或检查清单能使其更具实用性？ 推荐章节： - 概述 - 架构或心智模型 - 攻击视角 - 防御视角 - 检测策略 - 自动化策略 - 实战示例 - 工具 - 参考资料 ## 专业检测参考库 检测库现在包含跨身份、Windows、Linux、网络、云、Kubernetes、应用和 AI 领域的平台中立参考页面、元数据、样本事件和测试用例。 从这里开始： - [`DETECTION_REFERENCE_LIBRARY.md`](DETECTION_REFERENCE_LIBRARY.md) - [`检测参考库索引`](02-Blue-Team/Detection-Engineering/reference-library/README.md) - [`检测参考覆盖率`](02-Blue-Team/Detection-Engineering/DETECTION_REFERENCE_COVERAGE.md) - [`检测测试用例`](02-Blue-Team/Detection-Engineering/test-cases/detection-test-cases.json) ## 超深度剖析覆盖范围 本仓库目前包含以下领域更深度的实践者覆盖： - 身份安全检测 - Windows 端点检测 - PowerShell 检测 - Linux 身份验证检测 - DNS 与代理检测 - OSINT 与恶意软件跟踪模型 - AWS 组织与 S3 暴露安全 - API 日志记录与 GraphQL 安全 - AI SOC 运营模型 - 检测覆盖率报告 - 扩展的样本数据集和检测元数据 请参阅 [`SUPER_DEEP_DIVE_ROADMAP.md`](SUPER_DEEP_DIVE_ROADMAP.md)、[`COVERAGE_MATRIX.md`](COVERAGE_MATRIX.md) 和 [`SUPER_DEEP_DIVE_STATUS.md`](SUPER_DEEP_DIVE_STATUS.md)。 ## 参考库 本仓库目前包含支持已发布参考材料的草稿库： - [`检测规则库`](02-Blue-Team/Detection-Engineering/rules/README.md) - [`CVE 参考库`](03-Threat-Intelligence/CVE-Intelligence/library/README.md) - [`合成 IOC 报告`](03-Threat-Intelligence/IOC-Reports/synthetic/) - [`IR Playbook 库`](02-Blue-Team/Incident-Response/playbooks/README.md) - [`架构图`](08-Architecture/Diagrams/README.md) - [`已发布索引`](PUBLISHED_INDEX.md) - [`审查状态`](REVIEW_STATUS.md) ## 快速开始 从模板创建新笔记： ``` python scripts/new_note.py --template 99-Templates/document-template.md --title "Windows Event Logging" --output 00-Fundamentals/Windows-Security/windows-event-logging.md ``` 重新生成仓库索引： ``` python scripts/generate_index.py ``` 验证仓库规范性： ``` python scripts/validate_repository.py python scripts/generate_index.py --check npm_config_update_notifier=false npx --yes markdownlint-cli2 "**/*.md" ``` ## 路线图 - **阶段 1：** 基础、分类法、模板、贡献工作流 - **阶段 2：** 蓝队与检测工程 - **阶段 3：** 红队方法论 - **阶段 4：** 威胁情报与自动化 - **阶段 5：** AI 安全 - **阶段 6：** 自主安全系统 请参阅 [`ROADMAP.md`](ROADMAP.md) 和 [`BACKLOG.md`](BACKLOG.md)。 ## 许可协议 本仓库采用双许可协议模型： - 文档、笔记、模板和图表：**CC BY-SA 4.0** - 脚本、schema、检测逻辑、自动化示例和代码片段：**MIT** 请参阅 [`LICENSE.md`](LICENSE.md)、[`LICENSE-DOCS.md`](LICENSE-DOCS.md) 和 [`LICENSE-CODE.md`](LICENSE-CODE.md)。

标签：Ruby, 威胁情报, 安全架构, 开发者工具, 数据展示, 知识库, 管理员页面发现, 红队, 网络安全, 逆向工具, 防御加固, 隐私保护