libertymubhau-cpu/detection-engineering-portfolio
GitHub: libertymubhau-cpu/detection-engineering-portfolio
一份检测工程作品集,包含映射 MITRE ATT&CK 的自定义 KQL/Sigma 检测规则、威胁狩猎报告及端到端事件调查案例,展示从 SOC 分析师到检测工程师的实战能力。
Stars: 0 | Forks: 0
# 检测工程与威胁狩猎作品集
**Liberty Mubhau** | SOC Analyst → Detection Engineer | SC-200, CySA+, CCNA
[LinkedIn](https://www.linkedin.com/in/ing-liberty-mubhau-77a19713) · 捷克共和国布拉格 · 接受远程/国际合同
## 关于本仓库
拥有四年涉及 Microsoft Sentinel、Microsoft Defender XDR、Splunk 和 CrowdStrike Falcon 的 SOC 和 MSSP 实战经验。本仓库记录了我从使用检测规则到构建规则的转变——包括自定义 KQL 分析规则、用于跨平台可移植性的 Sigma 规则、威胁狩猎方法论,以及一份匿名化的 incident 调查报告。
所有查询均基于真实的 Microsoft Sentinel / Defender XDR 表 schema(`SigninLogs`、`OfficeActivity`、`DeviceProcessEvents`、`IdentityLogonEvents`、`EmailEvents`)构建,可在任何租户中安全运行——不包含任何客户数据,也不包含专有的 IOC。这些场景基于我在生产环境中 triage 过的常见攻击模式,经过泛化并为本作品集从头重新构建。
## 结构
| 文件夹 | 内容 |
|---|---|
| `/detections` | KQL 分析规则,每条规则均映射到 MITRE ATT&CK,并包含误报分析和响应指导 |
| `/sigma-rules` | 供应商无关的 Sigma 规则(可移植到 Splunk、Elastic、QRadar),涵盖其中两个检测 |
| `/threat-hunting` | 一份结构化的主动狩猎报告(假设 → 查询 → 发现 → 建议) |
| `/incident-investigations` | 一份匿名化的端到端案例研究:phishing → BEC,从告警到 remediation |
## 为什么这很重要
大多数 SOC Analyst 使用别人构建的检测规则。本仓库证明了我可以反其道而行之——提取威胁场景,将其映射到 ATT&CK,编写检测逻辑,针对误报进行调优,并交付一份响应 playbook。这是 Detection Engineer 和 Sentinel 顾问职位的职责描述,而不是 SOC Analyst 的职责。
## 路线图
- [ ] 添加 Defender XDR Advanced Hunting 查询(适用于 `DeviceEvents`、`CloudAppEvents` 的 KQL 变体)
- [ ] 为其中一个检测添加 Logic App / Sentinel Playbook(SOAR 自动化)
- [ ] 添加一个 detection-as-code 的 CI/CD 示例(通过 ARM/Bicep 使用 GitHub Actions 部署分析规则)
标签:KQL, Microsoft Sentinel, Sigma规则, SOC分析, 安全响应, 安全检测工程, 目标导入