ag48665/blue-team-detection-lab

GitHub: ag48665/blue-team-detection-lab

基于 Windows 真实遥测数据的蓝队检测工程实验室,提供涵盖 Sigma 规则、Sysmon 分析、MITRE ATT&CK 映射及多平台查询语言的实践性 SOC 调查与威胁检测场景。

Stars: 0 | Forks: 0

# 🛡️ Blue Team 检测实验室 ![状态](https://img.shields.io/badge/Status-Active-success) ![平台](https://img.shields.io/badge/Platform-Windows%2011-green) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![Sigma](https://img.shields.io/badge/Sigma-Rules-blue) ![KQL](https://img.shields.io/badge/KQL-Microsoft%20Sentinel-orange) ![许可证](https://img.shields.io/badge/License-MIT-yellow) # 📖 关于 本仓库包含基于真实 Windows 遥测数据构建的实用 **Blue Team**、**Detection Engineering** 和 **SOC Investigation** 实验室。 旨在展示在以下方面的实践经验: - Security Operations Center (SOC) - Detection Engineering - Threat Hunting - Incident Response - Windows Event Log Analysis - Sysmon Analysis - MITRE ATT&CK Mapping - Sigma Rule Development - Microsoft Sentinel (KQL) - Splunk SPL - IOC Analysis # 📊 仓库统计 - ✅ 6 个已完成的检测实验室 - ✅ Sigma Rules - ✅ Microsoft Sentinel (KQL) 查询 - ✅ Splunk SPL 搜索 - ✅ IOC 文档 - ✅ MITRE ATT&CK Mapping - ✅ 调查报告 - 🚧 仓库持续开发中 # 🛠️ 技术 - Windows 11 - Sysmon - Event Viewer - PowerShell - Windows Registry - Microsoft Defender - Nmap - Sigma - Microsoft Sentinel (KQL) - Splunk SPL - MITRE ATT&CK # 📂 仓库结构 ``` blue-team-detection-lab │ ├── detections │ ├── sigma │ ├── kql │ ├── splunk │ └── yara │ ├── labs ├── reports ├── screenshots ├── scripts └── docs ``` # 🧪 实验室 | 实验室 | 主题 | 状态 | |------|-------|:------:| | Lab01 | Nmap 侦察检测 | ✅ | | Lab02 | 可疑 PowerShell 检测 | ✅ | | Lab03 | LOLBins 检测 | ✅ | | Lab04 | 钓鱼攻击调查 | ✅ | | Lab05 | 勒索软件调查 | ✅ | | Lab06 | Windows 持久化检测 | ✅ | | Lab07 | 凭据访问检测 | ⏳ | | Lab08 | Threat Hunting | ⏳ | | Lab09 | 横向移动检测 | ⏳ | | Lab10 | Incident Response 案例研究 | ⏳ | # 📸 实验室亮点 ## Lab02 – 可疑 PowerShell 检测 显示可疑 PowerShell 执行的 Sysmon Event ID 1。 ![PowerShell Sysmon 事件](https://static.pigsec.cn/wp-content/uploads/repos/cas/60/605b01c5b25a95b3c8e4587a7b23710f2333008816b64177ce47422e35e3117d.png) ## Lab03 – LOLBins 检测 使用 Sysmon 遥测数据检测 LOLBin 执行。 ![Certutil Sysmon 事件](https://static.pigsec.cn/wp-content/uploads/repos/cas/c5/c525a131e87edae6f5b47b83f16c35b42184482c621d09efb97505d0d3581a3f.png) ## Lab05 – 勒索软件调查 使用 PowerShell 和文件修改模拟勒索软件活动。 ![勒索软件模拟](https://static.pigsec.cn/wp-content/uploads/repos/cas/7c/7cbef8419be28296c067bf53c4d1035fd96c1e0a2e64c636aeeeae4fdd34bbab.png) ## Lab06 – Windows 持久化检测 使用 Sysmon Event ID 13 检测到的注册表 Run Key 持久化。 ![Run Key 检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/36/36356eb096a7024503f2aa25d6a05e0ce0327d460599c17d452faf8cdd0c691d.png) # 🧠 检测内容 ## Sigma 规则 - 可疑 PowerShell 执行 - 可疑 Certutil 使用 - 可疑 BITSAdmin 使用 - 可疑 Rundll32 执行 - 可疑 Regsvr32 执行 - 勒索软件进程执行 - 注册表 Run Key 持久化 ### Microsoft Sentinel (KQL) - PowerShell 检测 - Certutil 检测 - BITSAdmin 检测 - Rundll32 检测 - 勒索软件检测 - 注册表 Run Key 检测 ### Splunk SPL - 可疑 PowerShell - LOLBins 检测 - 勒索软件活动 - 注册表 Run Key 持久化 # 📚 文档 每个已完成的实验室均包含: - 调查报告 - 检测策略 - IOC 文档 - MITRE ATT&CK Mapping - 检测建议 - 截图 - 检测规则 - 支持脚本(如适用) # 🎯 展示技能 - Windows Event Log Analysis - Sysmon Investigation - Detection Engineering - Threat Hunting - Incident Response - 注册表持久化分析 - PowerShell 分析 - LOLBins 检测 - IOC Analysis - Sigma Rule Development - Microsoft Sentinel (KQL) - Splunk SPL - MITRE ATT&CK Mapping # 🚀 路线图 - [x] Lab01 – Nmap 侦察检测 - [x] Lab02 – 可疑 PowerShell 检测 - [x] Lab03 – LOLBins 检测 - [x] Lab04 – 钓鱼攻击调查 - [x] Lab05 – 勒索软件调查 - [x] Lab06 – Windows 持久化检测 - [ ] Lab07 – 凭据访问检测 - [ ] Lab08 – Threat Hunting - [ ] Lab09 – 横向移动检测 - [ ] Lab10 – Incident Response 案例研究 # 🎯 目标 构建一个专业的 Blue Team 作品集,展示使用真实 Windows 遥测数据、Sysmon 日志、Sigma rules、Microsoft Sentinel (KQL)、Splunk SPL 和 MITRE ATT&CK 的实用 Security Operations Center (SOC)、Detection Engineering、Threat Hunting 和 Incident Response 技能。 ## 👩‍💻 作者 **Agata Gabara** Blue Team • SOC Analyst • Detection Engineering GitHub: https://github.com/ag48665
标签:AI合规, Libemu, 安全实验室, 安全运营中心, 插件系统, 知识库安全, 管理员页面发现, 网络映射