abhinavkishor9/Detection-Engineering-Foundations-Lab
GitHub: abhinavkishor9/Detection-Engineering-Foundations-Lab
面向 SOC 分析师的检测工程实践项目,通过 Windows 端点日志分析和 Sigma 规则开发,帮助学习者掌握安全检测的完整生命周期。
Stars: 0 | Forks: 0
# Detection-Engineering-Foundations-Lab
## 概述
本仓库记录了我第三周 Detection Engineering 的学习历程。该项目主要侧重于了解 SOC 分析师如何使用 Windows 事件日志、Sysmon 遥测数据、Sigma 规则和 MITRE ATT&CK 框架来构建、验证和改进安全检测。
在这一周中,我探索了完整的检测工程生命周期——从学习检测基础知识和开发 Sigma 规则,到分析误报、将检测映射到 MITRE ATT&CK,以及评估整体检测覆盖率。
# 目标
- 理解 Detection Engineering 的基础知识。
- 为常见的攻击者技术编写 Sigma 检测规则。
- 使用事件日志和 Sysmon 调查 Windows 端点活动。
- 区分真阳性与误报。
- 将检测映射到 MITRE ATT&CK 框架。
- 评估检测覆盖率并识别安全缺口。
- 将多个检测关联到攻击时间线中。
# 涵盖主题
- Detection Engineering 基础
- Windows 安全事件
- Sysmon 事件分析
- Sigma 规则开发
- Certutil 检测
- RDP 检测
- PowerShell 检测
- 误报分析
- MITRE ATT&CK 框架
- ATT&CK Navigator
- 检测覆盖率评估
- 检测成熟度
- SOC 调查工作流
# 实践练习
在本项目中,我完成了以下相关的实践练习:
- 检测规则创建
- Sigma 规则分析
- Windows 身份验证监控
- PowerShell 检测
- Certutil 滥用检测
- 注册表持久化检测
- 计划任务检测
- 误报识别
- ATT&CK 技术映射
- 检测成熟度评估
- 覆盖率缺口分析
# 调查场景
这一周内完成了多个调查场景。这些场景涉及将身份验证事件、PowerShell 执行、Living-off-the-Land Binary (LOLBin) 滥用、持久化机制和网络通信相关联,以重建攻击者的活动。
每项调查包括:
- 事件关联
- MITRE ATT&CK 映射
- 严重性评估
- 检测建议
- SOC 响应措施
# 展示技能
- Detection Engineering
- Windows 端点监控
- Sigma 规则开发
- Sysmon 分析
- 安全事件关联
- 误报分析
- MITRE ATT&CK 映射
- 检测覆盖率评估
- 检测调优
- SOC 调查
# 学习成果
通过完成该项目,我在以下方面获得了实践经验:
- 构建和分析端点检测。
- 编写 Sigma 检测规则。
- 调查 Windows 安全事件。
- 通过上下文分析减少误报。
- 将检测映射到 MITRE ATT&CK 技术。
- 评估检测覆盖率和成熟度。
- 应用 SOC 分析师使用的结构化调查方法论。
标签:ATT&CK框架, Conpot, PE 加载器, Sigma规则, SOC分析, Sysmon, Windows安全, 安全检测工程, 目标导入, 知识库安全