mahisurani06/Detection-Engineering-Lab

## 检测工程实验室 – Windows 事件监控与 Sigma 规则开发 ## 项目概述 本项目通过分析 Windows 安全和系统事件日志，展示了实际的检测工程和 SOC 分析师技能。 目标是识别关键安全事件、开发检测规则、创建 Sigma 签名、将检测映射到 MITRE ATT&CK 框架，并记录类似于真实世界安全运营中心 (SOC) 工作流的调查程序。 ## 使用技术 * Windows 11 * Windows 事件查看器 * Windows 安全日志 * Sigma 规则 * MITRE ATT&CK 框架 * Git & GitHub ## 开发的检测规则 | 规则 | 事件 ID | 检测内容 | | ------- | -------- | -------------------------------------- | | 规则 01 | 4688 | 进程创建监控 | | 规则 02 | 4625 | 登录失败检测 | | 规则 03 | 4624 | 登录成功监控 | | 规则 04 | 4720 | 用户账户创建检测 | | 规则 05 | 4728 | 特权组成员身份监控 | | 规则 06 | 1102 | 安全日志清除检测 | | 规则 07 | 4698 | 计划任务创建检测 | | 规则 08 | 4719 | 审计策略更改检测 | | 规则 09 | 7045 | 服务安装检测 | ## 创建的 Sigma 规则 ### 登录失败检测 * 事件 ID：4625 * MITRE ATT&CK：T1110 (暴力破解) ### 进程创建检测 * 事件 ID：4688 * MITRE ATT&CK：T1059 (命令和脚本解释器) ### 服务安装检测 * 事件 ID：7045 * MITRE ATT&CK：T1543 (创建或修改系统进程) ## MITRE ATT&CK 映射 | 事件 ID | 技术 ID | 技术 | | -------- | ------------ | --------------------------------- | | 4625 | T1110 | 暴力破解 | | 4624 | T1078 | 有效账户 | | 4688 | T1059 | 命令和脚本解释器 | | 4720 | T1136 | 创建账户 | | 4728 | T1098 | 账户操作 | | 1102 | T1070 | 主机上的指示器清除 | | 4698 | T1053 | 计划任务 | | 4719 | T1562 | 损害防御 | | 7045 | T1543 | 创建或修改系统进程 | ## 验证活动 执行了以下活动以生成和验证 Windows 安全事件： * 使用记事本、计算器和画图创建了进程执行事件 * 生成了登录成功事件 * 生成了登录失败事件 * 调查了服务安装事件 * 审查了 Windows 安全和系统日志 * 通过事件查看器验证了事件 ID 屏幕截图位于 `screenshots/` 目录中。 ## 展示的关键技能 * 检测工程 * 安全监控 * Windows 事件日志分析 * 威胁检测 * 事件调查 * Sigma 规则开发 * MITRE ATT&CK 映射 * SOC 运营 * 安全文档 * GitHub 项目管理 ## 仓库结构 ``` Detection-Engineering-Lab/ │ ├── docs/ ├── rules/ ├── sigma-rules/ ├── screenshots/ └── README.md ``` ## 作者 **Mahi Surani** 网络安全学生 | SOC 分析师候选人 | 检测工程爱好者

标签：ATT&CK映射, Sigma规则, SOC监控, Windows事件日志, 安全运营, 扫描框架, 目标导入, 网络安全研究, 速率限制处理