plokareddy/Detection-Engineering
GitHub: plokareddy/Detection-Engineering
该项目通过在 Windows 环境中模拟常见攻击技术,演示如何利用事件日志、Sysmon 和 Sigma 规则构建端到端的威胁检测与调查流程。
Stars: 0 | Forks: 0
# 🛡️ 检测工程
## 1. 项目概述
检测工程是一项防御性网络安全实践,侧重于利用日志和系统遥测数据来识别可疑和恶意活动。在本项目中,我在 Windows 环境中模拟了常见的攻击者技术,并分析了生成的 Windows 安全事件日志和 Sysmon 事件。每个场景都映射到 MITRE ATT&CK 框架,并包含相应的检测逻辑、Sigma 规则和调查程序,以展示 SOC 分析师如何检测、调查和响应潜在威胁。
## 2. 项目目标
该项目旨在:
- 在 Windows 环境中模拟常见的攻击者技术。
- 分析 Windows 安全事件日志和 Sysmon 事件。
- 针对不同的攻击场景构建检测逻辑。
- 将检测映射到 MITRE ATT&CK 框架。
- 为每个检测场景创建 Sigma 规则。
- 从 SOC 分析师的角度记录调查程序并识别潜在的误报。
## 3. 实验环境
- 操作系统:Windows 11 ARM64
- 虚拟化:UTM
- 日志来源:Windows 安全事件日志
- 遥测数据:Sysmon
- 检测框架:MITRE ATT&CK
- 检测规则:Sigma
## 4. 检测场景
本项目包含五个检测场景,用于模拟常见的攻击者活动。每个场景都包含事件分析、MITRE ATT&CK 映射、检测逻辑、Sigma 规则、调查程序和支持性证据。
| 检测项 | 事件 ID | MITRE ATT&CK |
|----------------------------------|-------------------|-------------------------|
| 暴力破解检测 | 4625 | T1110 |
| 信息侦察检测 | Sysmon Event ID 1 | T1033,T1082,T1016,
T1087,T1069.001 | | 用户账户创建 | 4720 | T1136 | | 管理员组
修改 | 4732 | T1098 | | 编码的 Powershell 执行 | Sysmon Event ID 1 | T1059.001 | ## 5. 应用的技能 - 检测工程 - Windows 事件日志分析 - Sysmon 监控 - MITRE ATT&CK 映射 - Sigma 规则开发 - 安全事件分析 - 威胁检测 - 蓝队运营 - 事件调查 ## 6. 仓库结构 ``` Detection-Engineering-Lab/ │ ├── README.md ├── detections/ ├── sigma-rules/ └── screenshots/ ```
T1087,T1069.001 | | 用户账户创建 | 4720 | T1136 | | 管理员组
修改 | 4732 | T1098 | | 编码的 Powershell 执行 | Sysmon Event ID 1 | T1059.001 | ## 5. 应用的技能 - 检测工程 - Windows 事件日志分析 - Sysmon 监控 - MITRE ATT&CK 映射 - Sigma 规则开发 - 安全事件分析 - 威胁检测 - 蓝队运营 - 事件调查 ## 6. 仓库结构 ``` Detection-Engineering-Lab/ │ ├── README.md ├── detections/ ├── sigma-rules/ └── screenshots/ ```
标签:AI合规, Cloudflare, MITRE ATT&CK, Sigma规则, 后渗透, 安全运营, 扫描框架, 无线安全, 目标导入