dhillon65/detection-engineering-lab

GitHub: dhillon65/detection-engineering-lab

受 Sigma 启发的轻量级检测工程平台,支持自定义 YAML 检测规则、安全日志分析、警报管理与 MITRE ATT&CK 映射,帮助安全团队高效运营 SOC 工作流。

Stars: 0 | Forks: 0

# 检测工程实验室 ![Python](https://img.shields.io/badge/Python-3.10+-blue) ![Flask](https://img.shields.io/badge/Flask-3.x-green) ![SQLite](https://img.shields.io/badge/SQLite-Database-orange) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![许可证](https://img.shields.io/badge/License-MIT-yellow) ## 概述 检测工程实验室是一个受 Sigma 启发的检测工程平台,专为 SOC 分析师、检测工程师、威胁猎手和网络安全专业人员设计。 该平台允许安全团队创建基于 YAML 的自定义检测规则、分析安全日志、生成警报、将检测映射到 MITRE ATT&CK 技术,并通过专业的 SOC 风格仪表板可视化安全事件。 ## 功能 ### 检测工程 - 自定义 YAML 检测规则 - 基于规则的威胁检测 - 受 Sigma 启发的规则结构 - 攻击模式匹配 - 检测逻辑验证 ### 警报管理 - 警报生成引擎 - 严重性分类 - 警报仪表板 - 警报历史追踪 - 实时检测处理 ### MITRE ATT&CK 集成 - ATT&CK 技术映射 - ATT&CK 战术分类 - 覆盖率可视化 - 安全分析 ### 报告 - PDF 安全报告 - 检测摘要 - 警报统计 - 导出功能 ### 仪表板 - 专业 SOC 界面 - 暗色网络安全主题 - KPI 卡片 - 警报趋势图 - 严重性分布图 - 检测分析 ## 项目结构 ``` detection-engineering-lab/ │ ├── app.py ├── config.py ├── requirements.txt │ ├── database/ │ └── detection.db │ ├── detection_engine/ │ ├── database.py │ ├── rule_loader.py │ ├── rule_parser.py │ ├── attack_matcher.py │ ├── mitre_mapper.py │ └── alert_manager.py │ ├── api/ │ ├── rules_api.py │ ├── alerts_api.py │ └── logs_api.py │ ├── reports/ │ ├── report_generator.py │ └── pdf_reports/ │ ├── rules/ │ ├── logs/ │ ├── alerts/ │ ├── templates/ │ └── static/ ``` ## 检测规则示例 ``` title: Multiple Failed Logins id: DET-001 description: Detect excessive failed login attempts. severity: High mitre: tactic: Credential Access technique: T1110 condition: failed_login: 10 ``` ## 检测流程示例 ``` Security Logs │ ▼ Rule Loader │ ▼ Detection Engine │ ▼ Attack Matcher │ ▼ Alert Engine │ ▼ MITRE Mapping │ ▼ SOC Dashboard ``` ## 使用的技术 ### 后端 - Python - Flask - SQLite - PyYAML ### 前端 - HTML5 - CSS3 - Bootstrap 5 - JavaScript - Chart.js ### 安全框架 - MITRE ATT&CK - 检测工程概念 - SOC 运营工作流 ## 安装说明 ### 克隆仓库 ``` git clone https://github.com/dhillon65/detection-engineering-lab.git cd detection-engineering-lab ``` ### 创建虚拟环境 ``` python -m venv venv ``` ### 激活环境 Windows ``` venv\Scripts\activate ``` Linux/Mac ``` source venv/bin/activate ``` ### 安装依赖项 ``` pip install -r requirements.txt ``` ### 运行应用程序 ``` python app.py ``` ## 访问仪表板 打开浏览器: ``` http://127.0.0.1:5000 ``` ## 可用页面 | 页面 | URL | |--------|--------| | 仪表板 | / | | 规则 | /rules | | 警报 | /alerts | | MITRE ATT&CK | /mitre | | 报告 | /reports | | 登录 | /login | ## API 端点 ### Rules API ``` GET /api/rules ``` ### Alerts API ``` GET /api/alerts ``` ### 扫描日志 ``` GET /api/scan ``` ## 未来增强功能 - Sigma 规则导入 - 交互式规则构建器 - 威胁情报集成 - IOC Feed 管理 - Elasticsearch 支持 - Splunk 集成 - Wazuh 集成 - WebSocket 实时警报 - 用户身份验证 - RBAC 支持 - Docker 部署 - CI/CD 流水线 - 云部署 ## 学习成果 本项目展示了: - 检测工程 - SOC 运营 - 安全监控 - 威胁检测 - MITRE ATT&CK 映射 - Flask 开发 - API 开发 - 仪表板设计 - 警报管理 - 安全分析 ## 作者 Satnam Singh 网络安全爱好者 | SOC 分析师候选人 | 检测工程学习者 ## 许可证 本项目基于 MIT 许可证授权。
标签:AMSI绕过, Cloudflare, Flask, MITRE ATT&CK, Python, 后端开发, 威胁检测, 安全运营, 恶意代码分类, 扫描框架, 无后门, 逆向工具