josiahdanbinta/SOC-Analyst-Labs-Detection-Engineering-Rules

GitHub: josiahdanbinta/SOC-Analyst-Labs-Detection-Engineering-Rules

该项目是一套面向 SOC 环境的安全检测工程规则集合,提供 Sigma、YARA 及自定义检测规则,并将检测逻辑映射到 MITRE ATT&CK 框架以提升威胁可见性。

Stars: 0 | Forks: 0

🔎 检测工程规则 概述 本项目致力于开发、测试和记录安全运营中心(SOC)环境中使用的安全检测规则。 目标是将安全事件和威胁情报转化为可操作的检测规则,以帮助识别恶意活动、可疑行为和潜在的安全事件。 🎯 目标 - 开发安全检测逻辑 - 创建可重用的检测规则 - 将检测映射到 MITRE ATT&CK 技术 - 提高威胁可见性 - 测试检测有效性 - 记录检测工程流程 📂 项目结构 Detection-Engineering-Rules ├── Sigma-Rules ├── YARA-Rules ├── Custom-Detections └── Test-Cases 1. Sigma 规则 文件夹: Sigma-Rules 描述 Sigma 规则是平台无关的检测规则,旨在跨不同 SIEM 平台识别可疑活动。 检测类别 示例: - 可疑的 PowerShell 执行 - 暴力破解身份验证尝试 - 异常的用户账户创建 - 权限提升活动 - 恶意软件执行模式 掌握技能 - 日志分析 - 检测逻辑开发 - SIEM 规则创建 - 威胁检测 2. YARA 规则 文件夹: YARA-Rules 描述 开发的 YARA 规则用于识别可疑文件、恶意软件指标和威胁工件。 检测重点 - 恶意软件识别 - 文件模式匹配 - 威胁研究 - IOC 检测 掌握技能 - 恶意软件分析 - 威胁情报 - 安全自动化 3. 自定义检测 文件夹: Custom-Detections 描述 针对特定攻击场景和企业监控需求创建的自定义安全检测。 检测示例 身份验证监控 检测: - 多次登录失败尝试 - 异常登录位置 - 可疑的身份验证模式 进程监控 检测: - 可疑的命令执行 - 异常的父子进程 - 恶意脚本活动 网络监控 检测: - 可疑连接 - 异常通信模式 - 潜在的命令与控制活动 4. 测试用例 文件夹: Test-Cases 描述 用于测试检测准确性并减少误报的验证场景。 测试包括 - 模拟攻击活动 - 日志生成 - 检测验证 - 规则改进 🧩 MITRE ATT&CK 映射 检测规则映射到相关的 ATT&CK 技术: 技术| 检测领域 T1059| 命令和脚本解释器 T1003| 凭据转储 T1078| 有效账户 T1562| 削弱防御 T1547| 启动或登录自动执行 🛠️ 工具与技术 - Sigma - YARA - Wazuh - Windows 事件日志 - Sysmon - MITRE ATT&CK 框架 - Python 🧠 掌握技能 ✅ 检测工程 ✅ SIEM 规则开发 ✅ 威胁狩猎 ✅ 恶意软件检测 ✅ MITRE ATT&CK 映射 ✅ 安全监控 📌 作者 Josiah Danbinta 网络安全分析师 | 检测工程师 GitHub: https://github.com/josiahdanbinta
标签:DNS信息、DNS暴力破解, Sigma规则, Web报告查看器, YARA规则, 安全运营, 扫描框架, 目标导入, 逆向工具