dotgibson/dotfiles-Defense
GitHub: dotgibson/dotfiles-Defense
面向蓝队安全分析师的 dotfiles 防御角色层,提供版本化检测工程、威胁狩猎工作流和基于 Docker 的轻量检测实验室。
Stars: 1 | Forks: 0
# 🔵 dotfiles 防御
**检测工程,版本控制。** 防御角色层 —
检测工程和基于 Docker 的网络威胁狩猎(hunt)实验室。
`sigma` · `sysmon` · `siem` · `docker`
[](https://dotgibson.github.io/dotfiles-web/) 
dotfiles 系统的**防御(蓝队)角色** —— 是
`dotfiles-Kali` 的镜像。Kali 包含的是攻击交战层,而这个 repo
包含的是**检测工程与调查**层:用于网络威胁狩猎(hunting)、分诊(triage)以及搭建小型检测
实验室的工具、配置和工作区工作流。
与 Kali 一样,它堆叠了**三**层:核心(第三方托管) → 原生 OS(你现有的 OS repo) → 防御(角色)。防御层是此 repo 独有的:
狩猎/分诊工具、版本控制的检测内容,以及基于 Docker 的实验室。
## 唯一重要的规则
**这是一个公开的 repo。案件、证据和日志数据绝不存放在其中。** 所有
调查数据都存放在 `~/cases/` 下(在 repo 之外),就像 Kali
将交战数据保存在 `~/engagements/` 中一样。偏执的 `.gitignore` 只是最后防线,
而不是主要控制手段。`mkcase` 在设计上就是用于在 repo 之外搭建案件脚手架。
## 与发行版无关 + Docker(无需专门的蓝队发行版)
你不需要 Security Onion 或专门的蓝队发行版 —— SO 是一个 SOC 传感器
设备,而不是 dotfiles 的目标。蓝队技术栈绝大部分是容器,因此
这个 repo 不假定特定的 OS:主机工具来自你的原生 OS 层,而
重型技术栈通过 `docker/`(`siemup` / `siemdown`)启动。
## Loader 集成
在 zsh loader 的本地覆盖之前,增加了一个阶段:
`tools → … → os → defense → local`。`defense/defense.zsh` →
`~/.config/zsh/defense.zsh` 仅包含工作流辅助工具(`mkcase`、`gocase`、
`note`、`siemup`/`siemdown`),并且全部由 `HAVE_*` 保护。
## 该层提供的内容
- `defense/defense.zsh` — 角色阶段的人机工程学 + 案件工作流
- `defense/templates/` — `case.md` / `hunt.md` 种子文件
- `detections/` — 版本控制的检测内容(Sigma、Sysmon、网络、SIEM)
- `docker/` — 检测实验室的 compose 技术栈
- `DEFENSE-METHODOLOGY.md` — ATT&CK → 数据源 → 检测映射
- `install/` — 主机工具说明(与发行版无关)
攻击配对的镜像位于 Kali 的 `PURPLE-TEAM.md` 中;两者相互交叉链接。
标签:Cutter, Docker, Sysmon, Zsh配置, 子域枚举, 安全防御评估, 请求拦截