Ismail-Masoumabadi/siem-detection-lab

# SIEM 检测实验室 我在自己的 Elastic SIEM 实验室中构建和调优的检测规则，按 MITRE ATT&CK 战术进行分类。这里的每一条规则都来自相同的流程：从一台 Kali 主机向我的 家庭 Active Directory 环境发起攻击，在日志中寻找它的痕迹， 然后为其编写检测规则。如果我无法看到攻击痕迹，我就会修复 日志记录并重试。 这个仓库是我学习方式中蓝队的一半。红队的另一半则是我在 HackTheBox 和同一个实验室中运行的攻击。同时构建攻防两端意味着我了解自己的 攻击在防御者眼中是什么样子，这才是核心意义所在。 ## 这里面有什么 ``` sigma/ vendor neutral detection rules, sorted by ATT&CK tactic elastic/ the same detections as EQL rules and Kibana KQL hunting filters sysmon/ the telemetry config that makes the detections possible docs/ lab architecture and data sources mitre-attack-mapping.md full ATT&CK coverage table ``` ## 检测项 包含七条规则，涵盖了我最常演练的攻击链，从登陆主机到 清除痕迹： - LSASS 内存访问，凭据转储（T1003.001）背后的行为 - 通过 RC4 服务票据请求进行的 Kerberoasting (T1558.003) - 编码的 PowerShell 执行 (T1059.001) - PsExec 服务安装，常见的横向移动步骤 (T1021.002) - 通过内置 net 命令进行的 Active Directory 侦察 (T1087.002) - 注册表 Run 键持久化 (T1547.001) - Windows 事件日志清除，一种反取证操作 (T1070.001) 包含技术 ID 的完整映射位于 mitre-attack-mapping.md 中。 ## 为什么选择 Sigma 加上 Elastic 检测逻辑只需在 Sigma 中编写一次，即可转换为任何后端。我在 `elastic/` 中实际运行的是 Elastic 版本，其中包括一个 EQL 序列 规则，该规则仅在十分钟内同一主机发生域侦察后紧接着发生 横向移动时才会触发。这种多步骤检测的 置信度远高于单独的任一事件，这也是普通的扁平搜索 无法做到的事情。 ## 诚实之言 这是一个实验室，而不是生产环境，在关键处仓库对此有明确说明。 其覆盖率依赖于主机和 AD 遥测数据，因为这是实验室所输入的数据。 目前还没有 EDR、proxy 或云端数据，因此在 初始访问和命令控制方面存在刻意的缺口。添加网络数据源和 EDR 源是下一步计划。我宁愿坦诚地说明范围，也不愿把实验室 包装成它所不是的东西。 ## 数据是如何流动的 ``` Windows hosts -> Sysmon -> Winlogbeat / Elastic Agent -> Elasticsearch -> Kibana ``` Sysmon 在可见性方面承担了主要工作。有关配置方法以及 每个检测所依赖的事件 ID，请参见 `sysmon/`。 由 Ismail Masoumabadi 构建并维护。

标签：Conpot, OpenCanary, Sigma规则, Terraform 安全, Windows安全, 目标导入, 越狱测试