bvlik/home-detection-lab
GitHub: bvlik/home-detection-lab
一个基于检测即代码理念的蓝队实验室,将 Sigma 规则、MITRE ATT&CK 场景映射与可运行的 Python 检测器结合,帮助安全人员在无需 SIEM 的情况下实践检测工程闭环。
Stars: 0 | Forks: 0
# 🧪 home-detection-lab
[](https://github.com/bvlik/home-detection-lab/actions/workflows/ci.yml)
**一个蓝队检测实验室:检测即代码 (detection-as-code)。**
Sigma 规则、攻击 → 检测场景映射到 MITRE ATT&CK,以及一个在示例日志上运行 SSH 暴力破解检测的小型 Python 检测器 —— 演示无需 SIEM。
## 理念
一个小型、可复现的实验室,用于实践**检测工程 (detection engineering)** 闭环:
```
Attack technique ──▶ Telemetry (logs) ──▶ Detection rule ──▶ Alert
(MITRE ATT&CK) (auth.log, ...) (Sigma) (triage)
```
每个场景都记录了攻击、其产生的日志证据、捕获它的 Sigma 规则,以及它映射到的 ATT&CK 技术。
## 目录
```
detections/sigma/ detection-as-code (portable Sigma rules)
scenarios/ attack → detection walkthroughs
mitre-attack-mapping.md coverage matrix
tools/detect.py runnable demo detector (SSH brute force)
tools/sample_logs/ sample telemetry to run against
```
## 检测规则 (v0)
| Sigma 规则 | ATT&CK | 检测内容 |
|------------|--------|---------|
| `ssh_bruteforce.yml` | T1110.001 | 来自单一来源的重复 SSH 登录失败 |
| `new_local_user.yml` | T1136.001 | 创建新的本地账户 |
| `sudo_privilege_escalation.yml` | T1548.003 | 可疑的使用 sudo 提权至 root |
## 运行演示(无需 SIEM)
```
pip install -r requirements.txt
python tools/detect.py tools/sample_logs/auth.log
```
预期结果:针对来自 `203.0.113.37` 的 SSH 暴力破解(8 次失败)发出警报,随后是一次成功的登录 —— 一个经典的先密码喷洒后登录 (password-spray-then-in) 模式。
## 实际部署
Sigma 规则是可移植的:使用 [`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) 将它们转换为你的 SIEM 格式(`sigma convert -t wazuh ...`、`-t splunk`、`-t elasticsearch`...)。将你的 Wazuh/Elastic agent 指向 `/var/log/auth.log` 并导入转换后的规则。
## 路线图
- [ ] 用于完整 pipeline 的 Wazuh 单节点 `docker-compose`
- [ ] Windows 检测(Sysmon:LSASS 访问、新建服务)
- [ ] 为每个场景进行 Atomic Red Team 映射标签:Cloudflare, MITRE ATT&CK, Reconnaissance, Sigma规则, URL发现, 安全检测, 目标导入, 请求拦截, 逆向工具