StaceyPheonix/Detection-Engineering-Case-Study

GitHub: StaceyPheonix/Detection-Engineering-Case-Study

一个检测工程案例研究项目,通过 Sigma 规则开发和 MITRE ATT&CK 映射演示如何将攻击者行为转化为可执行的检测逻辑。

Stars: 0 | Forks: 0

# 检测工程案例研究 ## 概述 本项目展示了一种实用的检测工程方法,重点在于将对手行为转化为可执行的检测。它强调使用与现代 SOC 和威胁检测实践相一致的、基于行为的结构化方法论来构建、评估和改进检测逻辑。 本项目不是关注孤立的告警或工具,而是将检测工程建模为一个生命周期:识别攻击者行为、将其映射到 MITRE ATT&CK、构建检测,并迭代改进信号质量。 ## 目标 - 将攻击者行为转化为检测逻辑 - 开发基于 Sigma 的检测规则 - 将检测映射到 MITRE ATT&CK 技术 - 分析检测差距和误报 - 应用紫队方法来提升防御覆盖率 ## 方法论 本项目遵循渐进式的检测工程工作流: 1. **行为识别** - 从模拟或真实场景中识别攻击者技术和行为 2. **检测设计** - 将行为转化为检测逻辑(Sigma 规则) 3. **MITRE ATT&CK 映射** - 将每个检测映射到相关的 ATT&CK 技术 4. **验证** - 评估检测有效性并识别盲点 5. **调优与迭代** - 改进规则以减少噪声并提高精度 ## 仓库结构 - `docs/` - 检测工程过程和分析的详细文档 - `sigma-rules/` - 为行为检测编写的 Sigma 检测规则 - `diagrams/` - 检测工作流和架构的可视化表示 - `images/` - 辅助视觉材料和参考截图 ## 核心原则 - 检测应关注行为,而非特征签名 - 每个检测都必须映射到一项对手技术 - 误报是调优过程的一部分,而非失败 - 检测工程是迭代的,而非静态的 - 防御安全通过对手思维得到提升 ## 说明 本仓库旨在作为一个专业的作品集成果,展示检测工程思维,而不仅仅是实验输出。重点在于结构化推理、检测逻辑和防御成熟度。
标签:Cloudflare, MITRE ATT&CK, Sigma规则, 安全, 渗透测试框架, 目标导入, 紫队, 超时处理, 防御