tarun24000/detection-engineering
GitHub: tarun24000/detection-engineering
面向 Microsoft Sentinel 的生产级检测规则库,按 MITRE ATT&CK 战术分类并附带 Sigma 跨平台规则与自动化脚本。
Stars: 0 | Forks: 0
# 检测工程作品集
这是一个生产级检测内容的结构化库,由 CSA 的网络安全威胁检测工程师构建和维护,该工程师负责跨约 80 个客户端 Sentinel 租户的工作。
## 仓库结构
```
detection-engineering/
│
├── detections/
│ ├── execution/
│ ├── defense-evasion/
│ ├── persistence/
│ ├── credential-access/
│ ├── discovery/
│ ├── command-and-control/
│ └── initial-access/
│
├── sigma/
│ └── (mirrors detections/ tactic structure)
│
├── useful-automation-scripts/
│ └── README.md
│
└── README.md
```
## 检测规则格式
每个 KQL 规则都包含一个结构化的 YAML 元数据标头:
```
// ---
// name:
// description:
// mitre_technique:
// mitre_tactic:
// severity:
// data_sources:
// author: Tarun Wagjiani
// date:
// ---
```
## 覆盖范围
| 战术 | 示例 |
|---|---|
| 防御规避 | 通过注册表绕过 AMSI、BYOVD、篡改 EDR |
| 执行 | 滥用 LOLBin、ClickFix WebDAV 投递、RunMRU 执行 |
| 凭证访问 | 滥用 OAuth、MFA 注册异常 |
| 持久化 | 滥用 Azure 角色分配、Conditional Access 排除项 |
| 命令与控制 | Netsh 端口转发、滥用 RMM 工具 (ScreenConnect) |
| 初始访问 | ISO 和容器文件投递链、PsExec 横向移动 |
| 发现 | USB 设备枚举、GitHub 审计日志异常 |
每个脚本都包含涵盖其用途、所需权限和示例用法的内联文档。所有特定于环境的值均已替换为占位符变量。
## Sigma 规则
`sigma/` 文件夹包含以 [Sigma 格式](https://github.com/SigmaHQ/sigma) 编写的选定检测的供应商无关版本,可通过 [pySigma](https://github.com/SigmaHQ/pySigma) 工具链将其转换为 Splunk ES、Google SecOps、Elastic 及其他 SIEM 平台。
## 工具与平台
- **SIEM** — Microsoft Sentinel、Microsoft Defender XDR
- **查询语言** — KQL (Kusto Query Language)
- **检测格式** — KQL(原生)、Sigma
- **自动化** — PowerShell、Azure Logic Apps、Azure CLI
- **CI/CD** — GitHub Actions(推送时验证 YAML 元数据)
- **框架** — MITRE ATT&CK
## 联系方式
**Tarun Wagjiani** — 网络安全检测工程师
[linkedin.com/in/tarun-wagjiani-69397818a](https://www.linkedin.com/in/tarun-wagjiani-69397818a)
[github.com/tarun24000](https://github.com/tarun24000)
标签:AI合规, AMSI绕过, KQL, Sigma规则, 威胁检测, 安全工程, 微软Sentinel, 目标导入, 知识库安全