xelosphere/detection-portfolio

 # 检测库 一个不断扩充的检测内容库，以平台无关的 [Sigma](https://sigmahq.io/) 规则编写，每条规则都映射到 [MITRE ATT&CK](https://attack.mitre.org/)。每条规则都记录了它所捕获的技术、背后的逻辑、预期的误报以及调优说明。 目标不是单纯收集规则——而是为了展示检测工程的思考过程：从攻击者技术出发，理解相关的 log source，编写能捕获该行为的逻辑，并推理其保真度与调优方法。 ## 为什么使用 Sigma Sigma 是一种供应商无关的检测格式。使用 [sigma CLI](https://github.com/SigmaHQ/sigma-cli)，这里的一条规则可以转换为 KQL（Microsoft Sentinel / Defender）、SPL（Splunk）、YARA-L（Google SecOps）等格式。编写一次检测并将其跨平台转换，是现代检测工程师的核心技能。 ## 结构 ``` rules/ Detections, organized by MITRE ATT&CK tactic credential_access/ execution/ defense_evasion/ persistence/ initial_access/ docs/ writeup_template.md Template for documenting a detection writeups/ One write-up per rule ``` ## 检测项 | 检测项 | 战术 | 技术 | Log source | |---|---|---|---| | 暴力破解 – 多次登录失败 | 凭证访问 | T1110.001 | Windows Security (4625) | | 编码的 PowerShell 命令 | 执行 | T1059.001 / T1027 | Windows 进程创建 | | 安全事件日志被清除 | 防御规避 | T1070.001 | Windows Security (1102) | | 用户被添加到本地管理员 | 持久化 / 提权 | T1098 / T1078.003 | Windows Security (4732) | | 有风险的 Entra ID 成功登录 | 初始访问 | T1078.004 | Entra ID 登录日志 | ## 验证与转换 ``` # 验证所有 rules 正确解析 sigma check rules/ # 将 rule 转换为 Splunk SPL sigma convert -t splunk rules/execution/win_process_powershell_encoded_command.yml # 列出可用的 backends 以找到 KQL / SecOps 的正确 target sigma plugin list ``` 有关安装工具并将此 repo 推送到 GitHub 的内容，请参阅 [SETUP.md](SETUP.md)。 ## 许可证 MIT — 见 [LICENSE](LICENSE)。

标签：AMSI绕过, DNS 反向解析, OpenCanary, Sigma规则, 威胁检测, 安全运营, 扫描框架, 目标导入