BatuhanTekin95/Detection-Engineering
GitHub: BatuhanTekin95/Detection-Engineering
该仓库是一位安全分析师记录的检测工程学习笔记与实验报告,聚焦于如何将攻击者行为转化为可测试、可调优的检测规则以提升 SOC 运营效率。
Stars: 0 | Forks: 0
# 检测工程
## 简介
本仓库包含我在检测工程部分记录的笔记和实验报告。
在创建本仓库之前,我参与了几个与 SOC 相关的项目,包括钓鱼分析、SIEM 调查、威胁狩猎和防火墙基础。这些项目帮助我了解了攻击是如何在日志中呈现的、分析师如何调查可疑活动,以及在调查过程中如何利用网络或端点事件。
在我的钓鱼项目中,我重点关注基于电子邮件的威胁、标头分析、可疑域名、附件和失陷标 IOC。该项目帮助我了解了攻击者如何使用社会工程学,以及分析师如何识别可疑的电子邮件活动。
在我的 SIEM 调查项目中,我使用 Splunk 和 Elastic 调查多阶段攻击、Active Directory 横向移动、PowerShell 活动、凭证访问、权限维持和勒索软件影响。该项目让我更深入地了解了如何将不同的日志源关联起来以重建攻击时间线。
在我的防火墙项目中,我重点关注防火墙概念、规则方向、流量过滤、Windows Defender 防火墙,以及网络控制如何减少攻击面。
在完成这些项目之后,我想更进一步,重点关注检测是如何被创建、测试、调优和改进的。本仓库正是专注于 SOC 工作的这一部分。
本仓库的主要目标是了解如何将可疑行为转化为有用的检测逻辑。
## 仓库重点
本仓库重点关注:
* 检测工程基础
* 检测类型
* 检测即代码
* 战术检测开发
* 面向 SOC 的威胁情报
* Sigma 规则编写
* 检测验证
* 基于 EDR 遥测的端点检测
* SOAR 概念与响应自动化
其目的不仅是收集笔记,更是为了了解如何基于真实的攻击者行为构建检测,以及它们如何在告警分诊和调查过程中为 SOC 分析师提供支持。
## 为什么创建本仓库
在我之前的 SIEM 和威胁狩猎调查中,我主要侧重于回答以下问题:
* 发生了什么?
* 哪个主机受到了影响?
* 涉及了哪个用户账户?
* 执行了什么命令?
* 攻击者使用了哪种技术?
* 造成了什么影响?
检测工程增加了另一个重要问题:
* 下次如何才能更早地检测到此类活动?
这就是我创建本仓库的原因。
我想了解如何规划、编写、测试、调优和维护检测规则。检测不仅应该生成告警,还应该提供有用的上下文,减少不必要的噪音,并帮助分析师专注于真正的威胁。
## 仓库结构
### 01 - 检测工程基础
本部分介绍了检测工程的主要概念,包括检测类型、基于环境的检测、基于威胁的检测以及检测即代码。
### 02 - 战术检测
本部分重点介绍如何将攻击者行为转化为检测逻辑。主要重点是了解分析师如何基于技术、工具和行为来检测可疑活动,而不是仅仅依赖静态指标。
### 03 - 面向 SOC 的威胁情报
本部分涵盖了威胁情报如何支持 SOC 运营和检测开发。重点关注 IOC、TTP、威胁行为者特征以及情报驱动的检测。
### 04 - Sigma
本部分重点介绍 Sigma 规则编写和与供应商无关的检测逻辑。目标是了解 Sigma 规则的结构,以及如何将它们跨不同的 SIEM 平台使用。
### 05 - SigHunt
本部分重点介绍使用 Sigma 规则和检测逻辑进行狩猎活动。它将检测工程与威胁狩猎联系了起来。
### 06 - Aurora EDR
本部分重点介绍端点检测概念和 EDR 遥测。主要目标是了解端点事件如何帮助检测可疑的进程活动、命令行行为和攻击者技术。
### 07 - SOAR 简介
本部分介绍了 SOAR 概念,包括剧本、告警富化、响应自动化和案例管理。
## 实践技能
在整个本仓库中,我实践并记录了与以下内容相关的概念:
* SOC 分析
* 检测逻辑
* 告警分诊
* 日志源选择
* 检测调优
* 误报分析
* MITRE ATT&CK 映射
* Sigma 规则结构
* 威胁情报使用
* 端点检测概念
* SOAR 工作流基础
## 之前的相关项目
本仓库建立在我之前的 SOC 和网络安全项目基础之上:
* **SOC 钓鱼案例研究**
重点关注钓鱼分析、电子邮件标头、可疑附件、恶意 URL 和 IOC 提取。
* **SIEM 调查案例研究**
重点关注 Splunk 和 Elastic 调查、多阶段攻击、横向移动、凭证访问、权限维持和勒索软件活动。
* **防火墙基础**
重点关注防火墙概念、流量过滤、规则方向、网络控制以及减少攻击面。
这些项目帮助我打下了调查与分析的基础。本仓库正是以此为基础,并更加侧重于检测的创建与改进。
## 主要收获
从本仓库中获得的主要收获是,检测工程不仅仅是编写告警规则。
一个优秀的检测应该基于攻击者行为、可靠的日志源、清晰的逻辑以及持续的改进。随着环境和攻击者技术的变化,应该对其进行测试、调优和更新。
本仓库帮助我了解了 SOC 分析师如何从仅仅调查告警,转变为思考这些告警是如何创建的以及如何改进它们。
标签:EDR, PE 加载器, SOAR, 威胁情报, 安全运营, 开发者工具, 扫描框架, 脆弱性评估, 防御策略