thabosakonta-wq/detection-engineering-lab
GitHub: thabosakonta-wq/detection-engineering-lab
一个基于 Sigma 规则和 MITRE ATT&CK 框架的检测工程实验室,演示如何为企业环境构建和记录威胁检测规则。
Stars: 0 | Forks: 0
# 检测工程实验室
一个专注于检测工程、Sigma 规则开发、威胁检测和 MITRE ATT&CK 映射的网络安全项目。
## 概述
本实验室演示了检测工程师如何创建和记录 Sigma 规则,这些规则用于识别企业环境中的可疑安全事件。
该项目包含针对以下情况的检测:
- 暴力破解攻击
- 权限提升
- 账户创建
- PowerShell 活动
## 功能
### 暴力破解检测
检测多次失败的登录尝试。
### 权限提升检测
检测特权账户分配。
### 账户创建检测
检测新创建的用户账户。
### PowerShell 检测
检测 PowerShell 执行活动。
## MITRE ATT&CK 覆盖范围
| 技术 | 描述 |
|------------|------------|
| T1110 | 暴力破解 |
| T1078 | 有效账户 |
| T1136 | 创建账户 |
| T1059.001 | PowerShell |
## 使用的技术
- Sigma
- MITRE ATT&CK
- Linux
- Termux
- Git
- GitHub
## 项目结构
```
Detection-Engineering-Lab
├── logs
│ └── security.log
├── reports
│ ├── detection_engineering_report.txt
│ └── mitre_mapping.md
├── screenshots
├── sigma_rules
│ ├── account_creation_rule.yml
│ ├── brute_force_rule.yml
│ ├── powershell_rule.yml
│ └── privilege_escalation_rule.yml
└── README.md```
---
## 作者
Thabo Sakonta
Microsoft Certified Security Operations Analyst (SC-200)
GitHub:
https://github.com/thabosakonta-wq
LinkedIn:
https://www.linkedin.com/in/thabo-sakonta-377a3748
---
## License
This project is provided for educational and portfolio purposes.
```
标签:AMSI绕过, Cloudflare, MITRE ATT&CK, OpenCanary, Sigma规则, 威胁检测, 安全运营, 扫描框架, 教育项目, 目标导入, 红队行动, 网络安全研究