anamaria0523/detection-engineering-t1547-001

GitHub: anamaria0523/detection-engineering-t1547-001

面向 MITRE ATT&CK T1547.001 注册表持久化技术的检测工程项目,涵盖从遥测数据采集到 Sigma 规则编写与验证的完整流程。

Stars: 0 | Forks: 0

# 检测工程 — T1547.001(注册表 Run 键持久化) 这是一个检测工程的作品集项目,专注于 MITRE ATT&CK 框架中的 持久化技术 **T1547.001(注册表 Run 键 / 启动文件夹)**。 本项目遵循完整的检测工程生命周期: **数据源 → 检测逻辑 → 测试与验证 → 部署与监控** ## 🎯 目标 构建、测试并记录一条有效的检测规则,以识别通过注册表键(`Run`/`RunOnce`) 进行持久化的尝试,这是恶意软件和攻击者用于在系统重启后保持活动 的最常见技术之一。 ## 🧪 实验环境 - **Hypervisor:** Oracle VirtualBox - **受害者虚拟机:** Windows 10 (64-bit) - **遥测工具:** Sysmon(采用 SwiftOnSecurity 配置) ## 📋 项目进度 - [x] **第 1 步:** 数据源 — Sysmon 的安装与配置 - [ ] **第 2 步:** 检测逻辑 — 为 Event ID 13 编写 Sigma 规则 - [ ] **第 3 步:** 测试与验证 — 模拟技术并验证检测 - [ ] **第 4 步:** 部署与监控 — 在 SIEM 中部署的注意事项 ## 📚 文档 | 步骤 | 文档 | |------|-----------| | 1. 数据源 | [docs/01-data-source-setup.md](docs/01-data-source-setup.md) | ## 🔗 参考资料 - [MITRE ATT&CK - T1547.001](https://attack.mitre.org/techniques/T1547/001/) - [Sysmon - Sysinternals](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [SwiftOnSecurity Sysmon Config](https://github.com/SwiftOnSecurity/sysmon-config)
标签:Sigma规则, Sysmon, 安全, 目标导入, 超时处理