TonyPhipps/SIEM

这些资源旨在指导 SIEM 团队... * ... 在 SIEM 和其他安全工具中制定内容创建（及退役）的工作流程。 * ... 展示现有的检测覆盖范围，并突出显示需要填补的覆盖缺口作为目标。 * ... 根据组织需求消除覆盖或增加额外的覆盖层。 * 确保生成并记录适当的日志，以满足充分的检测、调查和合规性要求。 # 准备工作、前置条件等 如果不打好基础，拥有 SIEM 就没有太大意义。请加固您的环境并在所有端点上配置适当的审计。 - [准备工作](/Preparation.md) - [事件响应策略示例](/Documentation-Templates/Incident-Response-Policy.md) - [RSS 源、订阅等](/osintel.md) - [日志记录](/Logging.md) - [值得注意的事件 ID](/Notable-Event-IDs.md) - [IR 工具与资源](/response-tools-resources.md) - [事件追踪](/incident-tracking.md) - [指标](/Metrics.md) - [攻击者工具](/attack-tools-resources.md) ## 加固 - [DNS 安全](/hardening/dns-security.md) - [电子邮件安全](/hardening/email-security.md) - [常规安全](/hardening/general-security.md) - Microsoft 365 - [审计与报告](/hardening/microsoft-365-auditing-and-reporting.md) - [Azure AD](/hardening/microsoft-365-azure-ad.md) - [Exchange](/hardening/microsoft-365-exchange.md) - [SharePoint 和 OneDrive](/hardening/microsoft-365-sharepoint-and-onedrive.md) - [Teams](/hardening/microsoft-365-teams.md) - [Microsoft Active Directory](hardening/microsoft-active-directory.md) - [Microsoft Windows DNS](/hardening/microsoft-windows-dns.md) - [Microsoft Windows](hardening/microsoft-windows.md) - [网络](hardening/network.md) - [远程访问](/hardening/remote-access.md) - [软件制造商](/hardening/software-manufacturers.md) - [Web 安全](/hardening/web-security.md) # [检测策略](/Detection-Tactics.md) 要检测攻击者，必须配备必要的日志以揭示其活动。这里我们使用矩阵将检测策略映射到攻击者策略。 # [检测方法](/Detection-Methods.md) 一旦收集了必要的日志（检测策略），就可以使用各种方法来揭示异常、可疑和恶意的活动。 # Playbooks Playbooks 提供了一种记录解决方案的方法，原因众多，包括追踪工作、统一响应、内容重建、指标与报告、做出明智决策、避免工作重复等。 - [用例结构](/Use-Case-Structure.md) - [用例审查](/Use-Cases.md) # 数据富化 这些工作可以为某些摄取的日志带来显著的好处。通常，富化会通过向事件添加新字段或创建查找表来实现，以便在过滤或填充字段时使用。 - GeoIP/ASN 查找 - Levenshtein 距离 - Shannon 熵值 - 字符串长度 - Top 100 万域名 - WHOIS 缓存 - DNS 查找 - 反向 DNS 查找 - 证书解析 - [O365 主体 App ID](/Lookups/o365-principalappid.csv) - [Windows 登录类型查找](/Lookups/windows-logon-type.csv) - [Windows 状态码查找](/Lookups/windows-status-code.csv) # [实验室](/Lab/WindowsVictim.md) 搭建一个包含 Windows 系统、SIEM 和攻击系统的实验室，以辅助检测研究和开发。 # 待办事项 - [ ] 添加用例示例 - [ ] 添加威胁狩猎库 - [ ] 添加一种面向对象的、关系型数据库方法，用于记录和关联所有元素——案例、对手、技术、缓解措施、检测、狩猎、日志源等。

标签：Active Directory, AMSI绕过, Azure AD, GitHub Advanced Security, HTTP/HTTPS抓包, Libemu, M365, OISF, Plaso, Terraform 安全, 事件ID, 人工智能安全, 企业安全, 内容开发, 合规性, 威胁检测, 子域枚举, 安全加固, 安全工作流, 安全工程, 安全指标, 安全运营, 微软安全, 态势感知, 扫描框架, 日志管理, 网络安全, 网络资产管理, 覆盖率分析, 防御策略, 隐私保护