StaceyPheonix/Detection-Engineering-Case-Study
GitHub: StaceyPheonix/Detection-Engineering-Case-Study
一个检测工程案例研究项目,通过 Sigma 规则开发和 MITRE ATT&CK 映射演示如何将攻击者行为转化为可执行的检测逻辑。
Stars: 0 | Forks: 0
# 检测工程案例研究
## 概述
本项目展示了一种实用的检测工程方法,重点在于将对手行为转化为可执行的检测。它强调使用与现代 SOC 和威胁检测实践相一致的、基于行为的结构化方法论来构建、评估和改进检测逻辑。
本项目不是关注孤立的告警或工具,而是将检测工程建模为一个生命周期:识别攻击者行为、将其映射到 MITRE ATT&CK、构建检测,并迭代改进信号质量。
## 目标
- 将攻击者行为转化为检测逻辑
- 开发基于 Sigma 的检测规则
- 将检测映射到 MITRE ATT&CK 技术
- 分析检测差距和误报
- 应用紫队方法来提升防御覆盖率
## 方法论
本项目遵循渐进式的检测工程工作流:
1. **行为识别**
- 从模拟或真实场景中识别攻击者技术和行为
2. **检测设计**
- 将行为转化为检测逻辑(Sigma 规则)
3. **MITRE ATT&CK 映射**
- 将每个检测映射到相关的 ATT&CK 技术
4. **验证**
- 评估检测有效性并识别盲点
5. **调优与迭代**
- 改进规则以减少噪声并提高精度
## 仓库结构
- `docs/` - 检测工程过程和分析的详细文档
- `sigma-rules/` - 为行为检测编写的 Sigma 检测规则
- `diagrams/` - 检测工作流和架构的可视化表示
- `images/` - 辅助视觉材料和参考截图
## 核心原则
- 检测应关注行为,而非特征签名
- 每个检测都必须映射到一项对手技术
- 误报是调优过程的一部分,而非失败
- 检测工程是迭代的,而非静态的
- 防御安全通过对手思维得到提升
## 说明
本仓库旨在作为一个专业的作品集成果,展示检测工程思维,而不仅仅是实验输出。重点在于结构化推理、检测逻辑和防御成熟度。
标签:Cloudflare, MITRE ATT&CK, Sigma规则, 安全, 渗透测试框架, 目标导入, 紫队, 超时处理, 防御