tarun24000/detection-engineering

GitHub: tarun24000/detection-engineering

面向 Microsoft Sentinel 的生产级检测规则库,按 MITRE ATT&CK 战术分类并附带 Sigma 跨平台规则与自动化脚本。

Stars: 0 | Forks: 0

# 检测工程作品集 这是一个生产级检测内容的结构化库,由 CSA 的网络安全威胁检测工程师构建和维护,该工程师负责跨约 80 个客户端 Sentinel 租户的工作。 ## 仓库结构 ``` detection-engineering/ │ ├── detections/ │ ├── execution/ │ ├── defense-evasion/ │ ├── persistence/ │ ├── credential-access/ │ ├── discovery/ │ ├── command-and-control/ │ └── initial-access/ │ ├── sigma/ │ └── (mirrors detections/ tactic structure) │ ├── useful-automation-scripts/ │ └── README.md │ └── README.md ``` ## 检测规则格式 每个 KQL 规则都包含一个结构化的 YAML 元数据标头: ``` // --- // name: // description: // mitre_technique: // mitre_tactic: // severity: // data_sources: // author: Tarun Wagjiani // date: // --- ``` ## 覆盖范围 | 战术 | 示例 | |---|---| | 防御规避 | 通过注册表绕过 AMSI、BYOVD、篡改 EDR | | 执行 | 滥用 LOLBin、ClickFix WebDAV 投递、RunMRU 执行 | | 凭证访问 | 滥用 OAuth、MFA 注册异常 | | 持久化 | 滥用 Azure 角色分配、Conditional Access 排除项 | | 命令与控制 | Netsh 端口转发、滥用 RMM 工具 (ScreenConnect) | | 初始访问 | ISO 和容器文件投递链、PsExec 横向移动 | | 发现 | USB 设备枚举、GitHub 审计日志异常 | 每个脚本都包含涵盖其用途、所需权限和示例用法的内联文档。所有特定于环境的值均已替换为占位符变量。 ## Sigma 规则 `sigma/` 文件夹包含以 [Sigma 格式](https://github.com/SigmaHQ/sigma) 编写的选定检测的供应商无关版本,可通过 [pySigma](https://github.com/SigmaHQ/pySigma) 工具链将其转换为 Splunk ES、Google SecOps、Elastic 及其他 SIEM 平台。 ## 工具与平台 - **SIEM** — Microsoft Sentinel、Microsoft Defender XDR - **查询语言** — KQL (Kusto Query Language) - **检测格式** — KQL(原生)、Sigma - **自动化** — PowerShell、Azure Logic Apps、Azure CLI - **CI/CD** — GitHub Actions(推送时验证 YAML 元数据) - **框架** — MITRE ATT&CK ## 联系方式 **Tarun Wagjiani** — 网络安全检测工程师 [linkedin.com/in/tarun-wagjiani-69397818a](https://www.linkedin.com/in/tarun-wagjiani-69397818a) [github.com/tarun24000](https://github.com/tarun24000)
标签:AI合规, AMSI绕过, KQL, Sigma规则, 威胁检测, 安全工程, 微软Sentinel, 目标导入, 知识库安全