thabosakonta-wq/detection-engineering-lab

GitHub: thabosakonta-wq/detection-engineering-lab

一个基于 Sigma 规则和 MITRE ATT&CK 框架的检测工程实验室,演示如何为企业环境构建和记录威胁检测规则。

Stars: 0 | Forks: 0

# 检测工程实验室 一个专注于检测工程、Sigma 规则开发、威胁检测和 MITRE ATT&CK 映射的网络安全项目。 ## 概述 本实验室演示了检测工程师如何创建和记录 Sigma 规则,这些规则用于识别企业环境中的可疑安全事件。 该项目包含针对以下情况的检测: - 暴力破解攻击 - 权限提升 - 账户创建 - PowerShell 活动 ## 功能 ### 暴力破解检测 检测多次失败的登录尝试。 ### 权限提升检测 检测特权账户分配。 ### 账户创建检测 检测新创建的用户账户。 ### PowerShell 检测 检测 PowerShell 执行活动。 ## MITRE ATT&CK 覆盖范围 | 技术 | 描述 | |------------|------------| | T1110 | 暴力破解 | | T1078 | 有效账户 | | T1136 | 创建账户 | | T1059.001 | PowerShell | ## 使用的技术 - Sigma - MITRE ATT&CK - Linux - Termux - Git - GitHub ## 项目结构 ``` Detection-Engineering-Lab ├── logs │ └── security.log ├── reports │ ├── detection_engineering_report.txt │ └── mitre_mapping.md ├── screenshots ├── sigma_rules │ ├── account_creation_rule.yml │ ├── brute_force_rule.yml │ ├── powershell_rule.yml │ └── privilege_escalation_rule.yml └── README.md``` --- ## 作者 Thabo Sakonta Microsoft Certified Security Operations Analyst (SC-200) GitHub: https://github.com/thabosakonta-wq LinkedIn: https://www.linkedin.com/in/thabo-sakonta-377a3748 --- ## License This project is provided for educational and portfolio purposes. ```
标签:AMSI绕过, Cloudflare, MITRE ATT&CK, OpenCanary, Sigma规则, 威胁检测, 安全运营, 扫描框架, 教育项目, 目标导入, 红队行动, 网络安全研究