josiahdanbinta/SOC-Analyst-Labs-Detection-Engineering-Rules
GitHub: josiahdanbinta/SOC-Analyst-Labs-Detection-Engineering-Rules
该项目是一套面向 SOC 环境的安全检测工程规则集合,提供 Sigma、YARA 及自定义检测规则,并将检测逻辑映射到 MITRE ATT&CK 框架以提升威胁可见性。
Stars: 0 | Forks: 0
🔎 检测工程规则
概述
本项目致力于开发、测试和记录安全运营中心(SOC)环境中使用的安全检测规则。
目标是将安全事件和威胁情报转化为可操作的检测规则,以帮助识别恶意活动、可疑行为和潜在的安全事件。
🎯 目标
- 开发安全检测逻辑
- 创建可重用的检测规则
- 将检测映射到 MITRE ATT&CK 技术
- 提高威胁可见性
- 测试检测有效性
- 记录检测工程流程
📂 项目结构
Detection-Engineering-Rules
├── Sigma-Rules
├── YARA-Rules
├── Custom-Detections
└── Test-Cases
1. Sigma 规则
文件夹:
Sigma-Rules
描述
Sigma 规则是平台无关的检测规则,旨在跨不同 SIEM 平台识别可疑活动。
检测类别
示例:
- 可疑的 PowerShell 执行
- 暴力破解身份验证尝试
- 异常的用户账户创建
- 权限提升活动
- 恶意软件执行模式
掌握技能
- 日志分析
- 检测逻辑开发
- SIEM 规则创建
- 威胁检测
2. YARA 规则
文件夹:
YARA-Rules
描述
开发的 YARA 规则用于识别可疑文件、恶意软件指标和威胁工件。
检测重点
- 恶意软件识别
- 文件模式匹配
- 威胁研究
- IOC 检测
掌握技能
- 恶意软件分析
- 威胁情报
- 安全自动化
3. 自定义检测
文件夹:
Custom-Detections
描述
针对特定攻击场景和企业监控需求创建的自定义安全检测。
检测示例
身份验证监控
检测:
- 多次登录失败尝试
- 异常登录位置
- 可疑的身份验证模式
进程监控
检测:
- 可疑的命令执行
- 异常的父子进程
- 恶意脚本活动
网络监控
检测:
- 可疑连接
- 异常通信模式
- 潜在的命令与控制活动
4. 测试用例
文件夹:
Test-Cases
描述
用于测试检测准确性并减少误报的验证场景。
测试包括
- 模拟攻击活动
- 日志生成
- 检测验证
- 规则改进
🧩 MITRE ATT&CK 映射
检测规则映射到相关的 ATT&CK 技术:
技术| 检测领域
T1059| 命令和脚本解释器
T1003| 凭据转储
T1078| 有效账户
T1562| 削弱防御
T1547| 启动或登录自动执行
🛠️ 工具与技术
- Sigma
- YARA
- Wazuh
- Windows 事件日志
- Sysmon
- MITRE ATT&CK 框架
- Python
🧠 掌握技能
✅ 检测工程
✅ SIEM 规则开发
✅ 威胁狩猎
✅ 恶意软件检测
✅ MITRE ATT&CK 映射
✅ 安全监控
📌 作者
Josiah Danbinta
网络安全分析师 | 检测工程师
GitHub:
https://github.com/josiahdanbinta
标签:DNS信息、DNS暴力破解, Sigma规则, Web报告查看器, YARA规则, 安全运营, 扫描框架, 目标导入, 逆向工具