dotgibson/dotfiles-Defense

GitHub: dotgibson/dotfiles-Defense

面向蓝队安全分析师的 dotfiles 防御角色层,提供版本化检测工程、威胁狩猎工作流和基于 Docker 的轻量检测实验室。

Stars: 1 | Forks: 0

# 🔵 dotfiles 防御 **检测工程,版本控制。** 防御角色层 — 检测工程和基于 Docker 的网络威胁狩猎(hunt)实验室。 `sigma` · `sysmon` · `siem` · `docker` [![展示](https://img.shields.io/badge/showcase-live-7aa2f7?style=flat-square)](https://dotgibson.github.io/dotfiles-web/) ![蓝队](https://img.shields.io/badge/blue--team-7dcfff?style=flat-square) dotfiles 系统的**防御(蓝队)角色** —— 是 `dotfiles-Kali` 的镜像。Kali 包含的是攻击交战层,而这个 repo 包含的是**检测工程与调查**层:用于网络威胁狩猎(hunting)、分诊(triage)以及搭建小型检测 实验室的工具、配置和工作区工作流。 与 Kali 一样,它堆叠了**三**层:核心(第三方托管) → 原生 OS(你现有的 OS repo) → 防御(角色)。防御层是此 repo 独有的: 狩猎/分诊工具、版本控制的检测内容,以及基于 Docker 的实验室。 ## 唯一重要的规则 **这是一个公开的 repo。案件、证据和日志数据绝不存放在其中。** 所有 调查数据都存放在 `~/cases/` 下(在 repo 之外),就像 Kali 将交战数据保存在 `~/engagements/` 中一样。偏执的 `.gitignore` 只是最后防线, 而不是主要控制手段。`mkcase` 在设计上就是用于在 repo 之外搭建案件脚手架。 ## 与发行版无关 + Docker(无需专门的蓝队发行版) 你不需要 Security Onion 或专门的蓝队发行版 —— SO 是一个 SOC 传感器 设备,而不是 dotfiles 的目标。蓝队技术栈绝大部分是容器,因此 这个 repo 不假定特定的 OS:主机工具来自你的原生 OS 层,而 重型技术栈通过 `docker/`(`siemup` / `siemdown`)启动。 ## Loader 集成 在 zsh loader 的本地覆盖之前,增加了一个阶段: `tools → … → os → defense → local`。`defense/defense.zsh` → `~/.config/zsh/defense.zsh` 仅包含工作流辅助工具(`mkcase`、`gocase`、 `note`、`siemup`/`siemdown`),并且全部由 `HAVE_*` 保护。 ## 该层提供的内容 - `defense/defense.zsh` — 角色阶段的人机工程学 + 案件工作流 - `defense/templates/` — `case.md` / `hunt.md` 种子文件 - `detections/` — 版本控制的检测内容(Sigma、Sysmon、网络、SIEM) - `docker/` — 检测实验室的 compose 技术栈 - `DEFENSE-METHODOLOGY.md` — ATT&CK → 数据源 → 检测映射 - `install/` — 主机工具说明(与发行版无关) 攻击配对的镜像位于 Kali 的 `PURPLE-TEAM.md` 中;两者相互交叉链接。
标签:Cutter, Docker, Sysmon, Zsh配置, 子域枚举, 安全防御评估, 请求拦截