carrollj8471-ux/detection-engineering-lab

GitHub: carrollj8471-ux/detection-engineering-lab

基于 ATT&CK 框架的 Windows 端点威胁检测实验室,使用 Sysmon 遥测验证多种检测方法并记录完整的检测工程工作流。

Stars: 0 | Forks: 0

# 检测工程实验室 ## 概述 本项目演示了一个基于 ATT\&CK 的检测工程实验室,使用 Windows Sysmon 遥测数据和安全的模拟活动。 该实验室通过生成测试活动、审查 Sysmon 事件、将行为映射到 MITRE ATT\&CK 以及记录带有证据的检测逻辑,验证了多种检测方法。 ## 使用的工具 - Windows PowerShell - Sysmon - Windows Event Logs - Wazuh agent - MITRE ATT\&CK - GitHub ## 展示的技能 - 检测工程 - 端点遥测分析 - Sysmon 事件验证 - MITRE ATT\&CK 映射 - 可疑 PowerShell 检测 - 持久化检测 - 进程链分析 - 网络实用工具检测 - 安全文档编写 ## 检测用例 | 检测 | 数据源 | MITRE ATT\&CK | |---|---|---| | 可疑 PowerShell 执行 | Sysmon Event ID 1 | T1059.001 | | 编码的 PowerShell 命令 | Sysmon Event ID 1 | T1059.001 / T1027 | | 计划任务持久化 | Sysmon Event ID 1 | T1053.005 | | 可疑进程链 | Sysmon Event ID 1 | T1059 / T1033 | | 网络实用工具执行 | Sysmon Event ID 1 | T1105 / T1016 | ## 项目结构 | 文件夹/文件 | 描述 | |---|---| | detections | 检测分析报告 | | test-cases | 安全的测试命令和验证步骤 | | evidence | 检测结果 CSV | | screenshots | 检测证据截图 | | notes | 方法论和 MITRE 映射 | | detection-report.md | 专业的实验室报告 | ## 截图 ### Sysmon 运行中 ![Sysmon 运行中](https://static.pigsec.cn/wp-content/uploads/repos/cas/94/94db59cdbd2dd961d8178ae10622c175a2c7f7da45c7a8110aa626860bcc9c08.png) ### 可疑 PowerShell 检测 ![可疑 PowerShell 检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/62/62b9697f9642ffe1068e1de985ed88f76a3ca5a5078d35537288ca718195e2ae.png) ### 编码的 PowerShell 检测 ![编码的 PowerShell 检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/8a/8af55d48e8a8d0895347775eb041bbac97a5329729a6934de70282a5b29b8082.png) ### 计划任务检测 ![计划任务检测](https://raw.githubusercontent.com/carrollj8471-ux/detection-engineering-lab/main/screenshots/04-scheduled-task-detection.png) ### 可疑进程链检测 ![可疑进程链检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/9a/9a394099f3281ab4fea3fa8245f3e6e476150f213c954483dd3a96c6dcd120c2.png) ### 网络实用工具检测 ![网络实用工具检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/5b/5b2b861654a9721393f81ad114a1d218099e2f09c6142824fdebe089c65817dc.png) ## 安全启示 检测工程不仅仅是编写检测逻辑。有效的检测应该经过测试、通过遥测数据进行验证、映射到攻击者行为,并附有相关证据记录。本项目展示了构建和验证端点检测的可重复工作流。
标签:DNS 反向解析, OpenCanary, Sysmon, Wazuh, 后渗透, 安全实验室, 网络信息收集