dtabi60/Detection-Engineering-Lab

GitHub: dtabi60/Detection-Engineering-Lab

一个模拟商业 EDR 平台核心功能的检测工程实验室,整合端点遥测收集、检测规则引擎、威胁情报丰富和交互式调查仪表板,用于构建和调优网络安全检测。

Stars: 0 | Forks: 0

# Detection-Engineering-Lab 一个使用 Python、Sysmon、Sigma 和 MITRE ATT&CK 构建、测试和调优网络安全检测的实操型检测工程实验室。 # 🛡️ 检测工程实验室 (Detection Engineering Lab) # 概述 检测工程实验室是一个作品集项目,它模拟了商业端点检测与响应(EDR)平台(如 SentinelOne、Microsoft Defender for Endpoint 和 CrowdStrike)中的许多核心功能。 该平台不仅限于生成告警,还收集实时端点遥测数据,规范化 Windows 事件,利用威胁情报丰富指标,并为安全分析师提供交互式的调查体验。 该项目旨在展示检测工程、安全运营中心(SOC)、威胁检测、事件调查、Python 自动化和安全工程技能。 # 当前功能 ### 实时端点遥测 - 实时 Sysmon 事件收集 - Windows 事件日志收集 - PowerShell 事件收集(计划中) - Windows 安全日志收集(计划中) ### 事件处理 - 事件规范化引擎 - 通用事件 schema - 时间线生成 - 事件关联框架 ### 检测引擎 - 模块化检测规则 - 风险评分 - MITRE ATT&CK 映射 - JSON 告警生成 ### 威胁情报引擎 当前提供商 - ✅ OTX(运行中) 即将推出的提供商 - AbuseIPDB - VirusTotal - MalwareBazaar - URLhaus 威胁情报引擎基于提供商设计,允许在不修改仪表板的情况下添加额外的情报源。 ### 调查仪表板 交互式 Streamlit 仪表板包含: - 告警摘要 - 风险评分 - 严重程度 - MITRE ATT&CK 映射 - 原始遥测数据 - 调查时间线 - 端点视图 - 进程详情 即将推出 - 进程树 - 主机调查 - 用户调查 - 网络调查 - DNS 调查 - 注册表调查 - AI 调查助手 # 项目架构 ``` Windows Endpoint │ Sysmon / Event Logs │ ┌──────────────┐ │ Collectors │ └──────────────┘ │ ┌──────────────┐ │ Parsers │ └──────────────┘ │ ┌──────────────┐ │ Normalization│ └──────────────┘ │ ┌──────────────┐ │ Detection │ └──────────────┘ │ ┌──────────────┐ │ Threat Intel │ └──────────────┘ │ ┌──────────────┐ │ AI Analysis │ └──────────────┘ │ ┌──────────────┐ │ Dashboard │ └──────────────┘ ``` # 项目结构 ``` Detection-Engineering-Lab/ collectors/ Live Windows telemetry collectors parsers/ Event normalization Timeline generation detections/ Detection rules Risk scoring enrichment/ Threat Intelligence providers OTX AbuseIPDB VirusTotal MalwareBazaar URLhaus dashboard/ Interactive investigation interface data/ Raw telemetry Alerts Normalized events Investigation timeline docs/ Documentation tests/ Unit tests ``` # 检测流水线 ``` Live Endpoint ↓ Sysmon ↓ Collector ↓ Parser ↓ Normalized Events ↓ Detection Rules ↓ Threat Intelligence ↓ AI Investigation ↓ Interactive Dashboard ``` # 技术栈 - Python - Streamlit - Sysmon - Windows 事件日志 - OpenAI API - OTX 威胁情报 - Git - GitHub - SQLite(开发中) # 调查工作流示例 ``` Alert Generated ↓ PowerShell Execution ↓ Timeline Reconstruction ↓ Threat Intelligence Lookup ↓ MITRE ATT&CK Mapping ↓ AI Investigation Summary ↓ Recommended Response ``` # 路线图 ## 第一阶段 ✅ - 实时 Sysmon 收集 - 事件解析器 - 检测引擎 - 时间线构建器 - Streamlit 仪表板 ## 第二阶段 🚧 - 威胁情报引擎 - OTX 集成 - AbuseIPDB - VirusTotal - MalwareBazaar - URLhaus ## 第三阶段 - 进程树 - 主机调查 - 用户调查 - DNS 调查 - 网络调查 - 注册表调查 ## 第四阶段 - SQLite 后端 - AI 调查助手 - 威胁狩猎接口 - IOC 搜索 - 行为基线 - 案例管理 # 目标 本项目旨在通过结合以下内容,模拟现代安全运营中心的工作流: - 检测工程 - 端点调查 - 威胁情报 - 事件响应 - 威胁狩猎 - AI 辅助分析 将其整合到一个平台中。 # 截图 # 作者 **Desmond Agbontabi** 安全分析师 | 检测工程 | 事件响应 | 威胁检测 | Python 自动化 GitHub: https://github.com/dtabi60/Detection-Engineering-Lab ## 许可证 MIT 许可证
标签:AMSI绕过, EDR, Kubernetes, Petitpotam, Python, Sysmon, 威胁检测, 安全, 无后门, 脆弱性评估, 超时处理, 逆向工具