abhinavkishor9/Detection-Engineering-Foundations-Lab

GitHub: abhinavkishor9/Detection-Engineering-Foundations-Lab

面向 SOC 分析师的检测工程实践项目,通过 Windows 端点日志分析和 Sigma 规则开发,帮助学习者掌握安全检测的完整生命周期。

Stars: 0 | Forks: 0

# Detection-Engineering-Foundations-Lab ## 概述 本仓库记录了我第三周 Detection Engineering 的学习历程。该项目主要侧重于了解 SOC 分析师如何使用 Windows 事件日志、Sysmon 遥测数据、Sigma 规则和 MITRE ATT&CK 框架来构建、验证和改进安全检测。 在这一周中,我探索了完整的检测工程生命周期——从学习检测基础知识和开发 Sigma 规则,到分析误报、将检测映射到 MITRE ATT&CK,以及评估整体检测覆盖率。 # 目标 - 理解 Detection Engineering 的基础知识。 - 为常见的攻击者技术编写 Sigma 检测规则。 - 使用事件日志和 Sysmon 调查 Windows 端点活动。 - 区分真阳性与误报。 - 将检测映射到 MITRE ATT&CK 框架。 - 评估检测覆盖率并识别安全缺口。 - 将多个检测关联到攻击时间线中。 # 涵盖主题 - Detection Engineering 基础 - Windows 安全事件 - Sysmon 事件分析 - Sigma 规则开发 - Certutil 检测 - RDP 检测 - PowerShell 检测 - 误报分析 - MITRE ATT&CK 框架 - ATT&CK Navigator - 检测覆盖率评估 - 检测成熟度 - SOC 调查工作流 # 实践练习 在本项目中,我完成了以下相关的实践练习: - 检测规则创建 - Sigma 规则分析 - Windows 身份验证监控 - PowerShell 检测 - Certutil 滥用检测 - 注册表持久化检测 - 计划任务检测 - 误报识别 - ATT&CK 技术映射 - 检测成熟度评估 - 覆盖率缺口分析 # 调查场景 这一周内完成了多个调查场景。这些场景涉及将身份验证事件、PowerShell 执行、Living-off-the-Land Binary (LOLBin) 滥用、持久化机制和网络通信相关联,以重建攻击者的活动。 每项调查包括: - 事件关联 - MITRE ATT&CK 映射 - 严重性评估 - 检测建议 - SOC 响应措施 # 展示技能 - Detection Engineering - Windows 端点监控 - Sigma 规则开发 - Sysmon 分析 - 安全事件关联 - 误报分析 - MITRE ATT&CK 映射 - 检测覆盖率评估 - 检测调优 - SOC 调查 # 学习成果 通过完成该项目,我在以下方面获得了实践经验: - 构建和分析端点检测。 - 编写 Sigma 检测规则。 - 调查 Windows 安全事件。 - 通过上下文分析减少误报。 - 将检测映射到 MITRE ATT&CK 技术。 - 评估检测覆盖率和成熟度。 - 应用 SOC 分析师使用的结构化调查方法论。
标签:ATT&CK框架, Conpot, PE 加载器, Sigma规则, SOC分析, Sysmon, Windows安全, 安全检测工程, 目标导入, 知识库安全