dtabi60/Detection-Engineering-Lab
GitHub: dtabi60/Detection-Engineering-Lab
一个模拟商业 EDR 平台核心功能的检测工程实验室,整合端点遥测收集、检测规则引擎、威胁情报丰富和交互式调查仪表板,用于构建和调优网络安全检测。
Stars: 0 | Forks: 0
# Detection-Engineering-Lab
一个使用 Python、Sysmon、Sigma 和 MITRE ATT&CK 构建、测试和调优网络安全检测的实操型检测工程实验室。
# 🛡️ 检测工程实验室 (Detection Engineering Lab)
# 概述
检测工程实验室是一个作品集项目,它模拟了商业端点检测与响应(EDR)平台(如 SentinelOne、Microsoft Defender for Endpoint 和 CrowdStrike)中的许多核心功能。
该平台不仅限于生成告警,还收集实时端点遥测数据,规范化 Windows 事件,利用威胁情报丰富指标,并为安全分析师提供交互式的调查体验。
该项目旨在展示检测工程、安全运营中心(SOC)、威胁检测、事件调查、Python 自动化和安全工程技能。
# 当前功能
### 实时端点遥测
- 实时 Sysmon 事件收集
- Windows 事件日志收集
- PowerShell 事件收集(计划中)
- Windows 安全日志收集(计划中)
### 事件处理
- 事件规范化引擎
- 通用事件 schema
- 时间线生成
- 事件关联框架
### 检测引擎
- 模块化检测规则
- 风险评分
- MITRE ATT&CK 映射
- JSON 告警生成
### 威胁情报引擎
当前提供商
- ✅ OTX(运行中)
即将推出的提供商
- AbuseIPDB
- VirusTotal
- MalwareBazaar
- URLhaus
威胁情报引擎基于提供商设计,允许在不修改仪表板的情况下添加额外的情报源。
### 调查仪表板
交互式 Streamlit 仪表板包含:
- 告警摘要
- 风险评分
- 严重程度
- MITRE ATT&CK 映射
- 原始遥测数据
- 调查时间线
- 端点视图
- 进程详情
即将推出
- 进程树
- 主机调查
- 用户调查
- 网络调查
- DNS 调查
- 注册表调查
- AI 调查助手
# 项目架构
```
Windows Endpoint
│
Sysmon / Event Logs
│
┌──────────────┐
│ Collectors │
└──────────────┘
│
┌──────────────┐
│ Parsers │
└──────────────┘
│
┌──────────────┐
│ Normalization│
└──────────────┘
│
┌──────────────┐
│ Detection │
└──────────────┘
│
┌──────────────┐
│ Threat Intel │
└──────────────┘
│
┌──────────────┐
│ AI Analysis │
└──────────────┘
│
┌──────────────┐
│ Dashboard │
└──────────────┘
```
# 项目结构
```
Detection-Engineering-Lab/
collectors/
Live Windows telemetry collectors
parsers/
Event normalization
Timeline generation
detections/
Detection rules
Risk scoring
enrichment/
Threat Intelligence providers
OTX
AbuseIPDB
VirusTotal
MalwareBazaar
URLhaus
dashboard/
Interactive investigation interface
data/
Raw telemetry
Alerts
Normalized events
Investigation timeline
docs/
Documentation
tests/
Unit tests
```
# 检测流水线
```
Live Endpoint
↓
Sysmon
↓
Collector
↓
Parser
↓
Normalized Events
↓
Detection Rules
↓
Threat Intelligence
↓
AI Investigation
↓
Interactive Dashboard
```
# 技术栈
- Python
- Streamlit
- Sysmon
- Windows 事件日志
- OpenAI API
- OTX 威胁情报
- Git
- GitHub
- SQLite(开发中)
# 调查工作流示例
```
Alert Generated
↓
PowerShell Execution
↓
Timeline Reconstruction
↓
Threat Intelligence Lookup
↓
MITRE ATT&CK Mapping
↓
AI Investigation Summary
↓
Recommended Response
```
# 路线图
## 第一阶段 ✅
- 实时 Sysmon 收集
- 事件解析器
- 检测引擎
- 时间线构建器
- Streamlit 仪表板
## 第二阶段 🚧
- 威胁情报引擎
- OTX 集成
- AbuseIPDB
- VirusTotal
- MalwareBazaar
- URLhaus
## 第三阶段
- 进程树
- 主机调查
- 用户调查
- DNS 调查
- 网络调查
- 注册表调查
## 第四阶段
- SQLite 后端
- AI 调查助手
- 威胁狩猎接口
- IOC 搜索
- 行为基线
- 案例管理
# 目标
本项目旨在通过结合以下内容,模拟现代安全运营中心的工作流:
- 检测工程
- 端点调查
- 威胁情报
- 事件响应
- 威胁狩猎
- AI 辅助分析
将其整合到一个平台中。
# 截图
# 作者
**Desmond Agbontabi**
安全分析师 | 检测工程 | 事件响应 | 威胁检测 | Python 自动化
GitHub:
https://github.com/dtabi60/Detection-Engineering-Lab
## 许可证
MIT 许可证
标签:AMSI绕过, EDR, Kubernetes, Petitpotam, Python, Sysmon, 威胁检测, 安全, 无后门, 脆弱性评估, 超时处理, 逆向工具