ag48665/blue-team-detection-lab
GitHub: ag48665/blue-team-detection-lab
基于 Windows 真实遥测数据的蓝队检测工程实验室,提供涵盖 Sigma 规则、Sysmon 分析、MITRE ATT&CK 映射及多平台查询语言的实践性 SOC 调查与威胁检测场景。
Stars: 0 | Forks: 0
# 🛡️ Blue Team 检测实验室






# 📖 关于
本仓库包含基于真实 Windows 遥测数据构建的实用 **Blue Team**、**Detection Engineering** 和 **SOC Investigation** 实验室。
旨在展示在以下方面的实践经验:
- Security Operations Center (SOC)
- Detection Engineering
- Threat Hunting
- Incident Response
- Windows Event Log Analysis
- Sysmon Analysis
- MITRE ATT&CK Mapping
- Sigma Rule Development
- Microsoft Sentinel (KQL)
- Splunk SPL
- IOC Analysis
# 📊 仓库统计
- ✅ 6 个已完成的检测实验室
- ✅ Sigma Rules
- ✅ Microsoft Sentinel (KQL) 查询
- ✅ Splunk SPL 搜索
- ✅ IOC 文档
- ✅ MITRE ATT&CK Mapping
- ✅ 调查报告
- 🚧 仓库持续开发中
# 🛠️ 技术
- Windows 11
- Sysmon
- Event Viewer
- PowerShell
- Windows Registry
- Microsoft Defender
- Nmap
- Sigma
- Microsoft Sentinel (KQL)
- Splunk SPL
- MITRE ATT&CK
# 📂 仓库结构
```
blue-team-detection-lab
│
├── detections
│ ├── sigma
│ ├── kql
│ ├── splunk
│ └── yara
│
├── labs
├── reports
├── screenshots
├── scripts
└── docs
```
# 🧪 实验室
| 实验室 | 主题 | 状态 |
|------|-------|:------:|
| Lab01 | Nmap 侦察检测 | ✅ |
| Lab02 | 可疑 PowerShell 检测 | ✅ |
| Lab03 | LOLBins 检测 | ✅ |
| Lab04 | 钓鱼攻击调查 | ✅ |
| Lab05 | 勒索软件调查 | ✅ |
| Lab06 | Windows 持久化检测 | ✅ |
| Lab07 | 凭据访问检测 | ⏳ |
| Lab08 | Threat Hunting | ⏳ |
| Lab09 | 横向移动检测 | ⏳ |
| Lab10 | Incident Response 案例研究 | ⏳ |
# 📸 实验室亮点
## Lab02 – 可疑 PowerShell 检测
显示可疑 PowerShell 执行的 Sysmon Event ID 1。

## Lab03 – LOLBins 检测
使用 Sysmon 遥测数据检测 LOLBin 执行。

## Lab05 – 勒索软件调查
使用 PowerShell 和文件修改模拟勒索软件活动。

## Lab06 – Windows 持久化检测
使用 Sysmon Event ID 13 检测到的注册表 Run Key 持久化。

# 🧠 检测内容
## Sigma 规则
- 可疑 PowerShell 执行
- 可疑 Certutil 使用
- 可疑 BITSAdmin 使用
- 可疑 Rundll32 执行
- 可疑 Regsvr32 执行
- 勒索软件进程执行
- 注册表 Run Key 持久化
### Microsoft Sentinel (KQL)
- PowerShell 检测
- Certutil 检测
- BITSAdmin 检测
- Rundll32 检测
- 勒索软件检测
- 注册表 Run Key 检测
### Splunk SPL
- 可疑 PowerShell
- LOLBins 检测
- 勒索软件活动
- 注册表 Run Key 持久化
# 📚 文档
每个已完成的实验室均包含:
- 调查报告
- 检测策略
- IOC 文档
- MITRE ATT&CK Mapping
- 检测建议
- 截图
- 检测规则
- 支持脚本(如适用)
# 🎯 展示技能
- Windows Event Log Analysis
- Sysmon Investigation
- Detection Engineering
- Threat Hunting
- Incident Response
- 注册表持久化分析
- PowerShell 分析
- LOLBins 检测
- IOC Analysis
- Sigma Rule Development
- Microsoft Sentinel (KQL)
- Splunk SPL
- MITRE ATT&CK Mapping
# 🚀 路线图
- [x] Lab01 – Nmap 侦察检测
- [x] Lab02 – 可疑 PowerShell 检测
- [x] Lab03 – LOLBins 检测
- [x] Lab04 – 钓鱼攻击调查
- [x] Lab05 – 勒索软件调查
- [x] Lab06 – Windows 持久化检测
- [ ] Lab07 – 凭据访问检测
- [ ] Lab08 – Threat Hunting
- [ ] Lab09 – 横向移动检测
- [ ] Lab10 – Incident Response 案例研究
# 🎯 目标
构建一个专业的 Blue Team 作品集,展示使用真实 Windows 遥测数据、Sysmon 日志、Sigma rules、Microsoft Sentinel (KQL)、Splunk SPL 和 MITRE ATT&CK 的实用 Security Operations Center (SOC)、Detection Engineering、Threat Hunting 和 Incident Response 技能。
## 👩💻 作者
**Agata Gabara**
Blue Team • SOC Analyst • Detection Engineering
GitHub: https://github.com/ag48665
标签:AI合规, Libemu, 安全实验室, 安全运营中心, 插件系统, 知识库安全, 管理员页面发现, 网络映射