carrollj8471-ux/detection-engineering-lab
GitHub: carrollj8471-ux/detection-engineering-lab
基于 ATT&CK 框架的 Windows 端点威胁检测实验室,使用 Sysmon 遥测验证多种检测方法并记录完整的检测工程工作流。
Stars: 0 | Forks: 0
# 检测工程实验室
## 概述
本项目演示了一个基于 ATT\&CK 的检测工程实验室,使用 Windows Sysmon 遥测数据和安全的模拟活动。
该实验室通过生成测试活动、审查 Sysmon 事件、将行为映射到 MITRE ATT\&CK 以及记录带有证据的检测逻辑,验证了多种检测方法。
## 使用的工具
- Windows PowerShell
- Sysmon
- Windows Event Logs
- Wazuh agent
- MITRE ATT\&CK
- GitHub
## 展示的技能
- 检测工程
- 端点遥测分析
- Sysmon 事件验证
- MITRE ATT\&CK 映射
- 可疑 PowerShell 检测
- 持久化检测
- 进程链分析
- 网络实用工具检测
- 安全文档编写
## 检测用例
| 检测 | 数据源 | MITRE ATT\&CK |
|---|---|---|
| 可疑 PowerShell 执行 | Sysmon Event ID 1 | T1059.001 |
| 编码的 PowerShell 命令 | Sysmon Event ID 1 | T1059.001 / T1027 |
| 计划任务持久化 | Sysmon Event ID 1 | T1053.005 |
| 可疑进程链 | Sysmon Event ID 1 | T1059 / T1033 |
| 网络实用工具执行 | Sysmon Event ID 1 | T1105 / T1016 |
## 项目结构
| 文件夹/文件 | 描述 |
|---|---|
| detections | 检测分析报告 |
| test-cases | 安全的测试命令和验证步骤 |
| evidence | 检测结果 CSV |
| screenshots | 检测证据截图 |
| notes | 方法论和 MITRE 映射 |
| detection-report.md | 专业的实验室报告 |
## 截图
### Sysmon 运行中

### 可疑 PowerShell 检测

### 编码的 PowerShell 检测

### 计划任务检测

### 可疑进程链检测

### 网络实用工具检测

## 安全启示
检测工程不仅仅是编写检测逻辑。有效的检测应该经过测试、通过遥测数据进行验证、映射到攻击者行为,并附有相关证据记录。本项目展示了构建和验证端点检测的可重复工作流。
标签:DNS 反向解析, OpenCanary, Sysmon, Wazuh, 后渗透, 安全实验室, 网络信息收集