harishgoud1410-cpu/detection-research
GitHub: harishgoud1410-cpu/detection-research
一个围绕威胁检测逻辑、Sigma 规则与狩猎查询开展的安全研究文档仓库,解决检测工程中规则编写与威胁狩猎方法论沉淀的问题。
Stars: 0 | Forks: 0
# 检测研究
本仓库包含我对现代威胁检测技术的研究,包括 Sigma 规则、SPL 查询和 hunting 逻辑。
## 重点领域:
- Windows 事件日志分析
- Sysmon 监控
- SIEM 检测工程 (Splunk/Wazuh)
- MITRE ATT&CK 映射
## 当前研究:
- **T1059.001 (PowerShell 执行):** 通过 Script Block Logging (Event ID 4104) 检测混淆的 PowerShell 命令。
标签:AMSI绕过, OpenCanary, Sigma规则, Wazuh, 威胁检测, 目标导入, 防御加固