cntzemir/detection-lab
GitHub: cntzemir/detection-lab
一个以 Windows 日志分析为核心的 SOC 检测实验室,包含 Sigma 规则与实操笔记,帮助初学者系统掌握安全事件检测与分析师思维方式。
Stars: 0 | Forks: 0
# detection-lab
我的实战检测实验室,从零开始以 Windows 日志为基础逐步搭建。
其中包含我编写的 Sigma 规则,以及记录了我的操作内容与操作方式的笔记。
## 目标
学习像 SOC 分析师一样洞察事物——我应该如何思考,
以及在阅读安全事件时需要关注哪些方面。
## 目录
- `rules/` — Sigma 检测规则
- `notes/` — 实验日志
## 规则
### win_4625_failed_logon_bruteforce
**检测场景:** 如果在 5 分钟内针对同一账户出现 10 次失败的登录尝试,并且目标账户名不以 `$` 结尾,将触发告警。
**误报场景:** 密码过期的服务账户,或者使用旧已保存密码的设备/应用程序,可能会产生重复的登录失败并导致误报。由于尚未过滤 Logon Type,交互式的操作失误与远程/网络登录尝试会被同等对待。
**已知限制:** 如果攻击者知晓该阈值,他们可以通过在 5 分钟内将失败尝试控制在 10 次以内(例如每 5 分钟尝试 9 次)来规避检测。
标签:Sigma规则, Windows日志, 安全运营, 扫描框架, 目标导入, 红队行动