plokareddy/Detection-Engineering

GitHub: plokareddy/Detection-Engineering

该项目通过在 Windows 环境中模拟常见攻击技术,演示如何利用事件日志、Sysmon 和 Sigma 规则构建端到端的威胁检测与调查流程。

Stars: 0 | Forks: 0

# 🛡️ 检测工程 ## 1. 项目概述 检测工程是一项防御性网络安全实践,侧重于利用日志和系统遥测数据来识别可疑和恶意活动。在本项目中,我在 Windows 环境中模拟了常见的攻击者技术,并分析了生成的 Windows 安全事件日志和 Sysmon 事件。每个场景都映射到 MITRE ATT&CK 框架,并包含相应的检测逻辑、Sigma 规则和调查程序,以展示 SOC 分析师如何检测、调查和响应潜在威胁。 ## 2. 项目目标 该项目旨在: - 在 Windows 环境中模拟常见的攻击者技术。 - 分析 Windows 安全事件日志和 Sysmon 事件。 - 针对不同的攻击场景构建检测逻辑。 - 将检测映射到 MITRE ATT&CK 框架。 - 为每个检测场景创建 Sigma 规则。 - 从 SOC 分析师的角度记录调查程序并识别潜在的误报。 ## 3. 实验环境 - 操作系统:Windows 11 ARM64 - 虚拟化:UTM - 日志来源:Windows 安全事件日志 - 遥测数据:Sysmon - 检测框架:MITRE ATT&CK - 检测规则:Sigma ## 4. 检测场景 本项目包含五个检测场景,用于模拟常见的攻击者活动。每个场景都包含事件分析、MITRE ATT&CK 映射、检测逻辑、Sigma 规则、调查程序和支持性证据。 | 检测项 | 事件 ID | MITRE ATT&CK | |----------------------------------|-------------------|-------------------------| | 暴力破解检测 | 4625 | T1110 | | 信息侦察检测 | Sysmon Event ID 1 | T1033,T1082,T1016,
T1087,T1069.001 | | 用户账户创建 | 4720 | T1136 | | 管理员组
修改 | 4732 | T1098 | | 编码的 Powershell 执行 | Sysmon Event ID 1 | T1059.001 | ## 5. 应用的技能 - 检测工程 - Windows 事件日志分析 - Sysmon 监控 - MITRE ATT&CK 映射 - Sigma 规则开发 - 安全事件分析 - 威胁检测 - 蓝队运营 - 事件调查 ## 6. 仓库结构 ``` Detection-Engineering-Lab/ │ ├── README.md ├── detections/ ├── sigma-rules/ └── screenshots/ ```
标签:AI合规, Cloudflare, MITRE ATT&CK, Sigma规则, 后渗透, 安全运营, 扫描框架, 无线安全, 目标导入