anamaria0523/detection-engineering-t1547-001
GitHub: anamaria0523/detection-engineering-t1547-001
面向 MITRE ATT&CK T1547.001 注册表持久化技术的检测工程项目,涵盖从遥测数据采集到 Sigma 规则编写与验证的完整流程。
Stars: 0 | Forks: 0
# 检测工程 — T1547.001(注册表 Run 键持久化)
这是一个检测工程的作品集项目,专注于 MITRE ATT&CK 框架中的
持久化技术 **T1547.001(注册表 Run 键 / 启动文件夹)**。
本项目遵循完整的检测工程生命周期:
**数据源 → 检测逻辑 → 测试与验证 → 部署与监控**
## 🎯 目标
构建、测试并记录一条有效的检测规则,以识别通过注册表键(`Run`/`RunOnce`)
进行持久化的尝试,这是恶意软件和攻击者用于在系统重启后保持活动
的最常见技术之一。
## 🧪 实验环境
- **Hypervisor:** Oracle VirtualBox
- **受害者虚拟机:** Windows 10 (64-bit)
- **遥测工具:** Sysmon(采用 SwiftOnSecurity 配置)
## 📋 项目进度
- [x] **第 1 步:** 数据源 — Sysmon 的安装与配置
- [ ] **第 2 步:** 检测逻辑 — 为 Event ID 13 编写 Sigma 规则
- [ ] **第 3 步:** 测试与验证 — 模拟技术并验证检测
- [ ] **第 4 步:** 部署与监控 — 在 SIEM 中部署的注意事项
## 📚 文档
| 步骤 | 文档 |
|------|-----------|
| 1. 数据源 | [docs/01-data-source-setup.md](docs/01-data-source-setup.md) |
## 🔗 参考资料
- [MITRE ATT&CK - T1547.001](https://attack.mitre.org/techniques/T1547/001/)
- [Sysmon - Sysinternals](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)
- [SwiftOnSecurity Sysmon Config](https://github.com/SwiftOnSecurity/sysmon-config)
标签:Sigma规则, Sysmon, 安全, 目标导入, 超时处理