infosecB/awesome-detection-engineering

# 优秀检测工程精选 [](https://awesome.re) 检测工程是网络安全防御计划的一项战术职能，涉及检测控件的设计、实施和操作，其目标是在恶意或未经授权的活动对个人或组织造成负面影响之前，主动识别这些活动。 欢迎所有贡献，但在提交拉取请求之前，请仔细阅读[贡献指南](https://github.com/infosecB/awesome-detection-engineering/blob/main/contributing.md)。 ## 目录 - [概念与框架](#concepts--frameworks) - [检测内容与特征码](#detection-content--signatures) - [日志记录、监控与数据源](#logging-monitoring--data-sources) - [通用资源](#general-resources) ## 概念与框架 - [MITRE ATT&CK](https://attack.mitre.org/) - 基于现实世界观察的对手战术、技术和过程的基础框架。 - [Alerting and Detection Strategies (ADS) Framework | Palantir](https://github.com/palantir/alerting-detection-strategy-framework) - 创建和记录有效检测内容的蓝图。 - [Detection Engineering Maturity Matrix | Kyle Bailey](https://detectionengineering.io) - 一个详细的矩阵，作为衡量组织检测工程计划整体成熟度的工具。 - [Detection Maturity Level (DML) Model | Ryan Stillions](http://ryanstillions.blogspot.com/2014/04/the-dml-model_21.html) - 定义和描述组织威胁检测计划成熟度的 8 个不同级别。 - [The Pyramid of Pain | David J Bianco](http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html) - 一个用于描述入侵指标（IOC）的各种分类及其在检测威胁行为者方面有效性的模型。 - [Cyber Kill Chain | Lockheed Martin](https://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html) - Lockheed Martin 的框架，概述了网络攻击中常见的 7 个阶段。 - [MaGMa (Management, Growth and Metrics & Assessment) Use Case Defintion Model](https://www.betaalvereniging.nl/wp-content/uploads/FI-ISAC-use-case-framework-verkorte-versie.pdf) - 一种以业务为中心的方法，用于定义威胁检测用例。 - [Synthetic Adversarial Log Objects (SALO) | Splunk](https://github.com/splunk/salo) - 合成对抗性日志对象（SALO）是一个用于生成日志事件的框架，无需基础设施或操作来启动导致日志事件的事件。 - [The Zen of Security Rules | Justin Ibarra](https://br0k3nlab.com/resources/zen-of-security-rules/) - 概述了 19 条格言，作为创建高质量检测内容的通用原则。 - [Blue-team-as-Code - the Spiral of Joy | Den Iuzvyk, Oleg Kolesnikov](https://sansorg.egnyte.com/dl/KTc16ldiqv) - Blue-Team-as-Code：使用日志的真实世界红队检测自动化的经验教训。 - [Detection Development Lifecycle | Haider Dost et al.](https://medium.com/snowflake/detection-development-lifecycle-af166fffb3bc) - Snowflake 的检测开发生命周期实施。 - [Threat Detection Maturity Framework | Haider Dost of Snowflake](https://medium.com/snowflake/threat-detection-maturity-framework-23bbb74db2bc) - 用于衡量威胁检测计划成功与否的成熟度矩阵。 - [Elastic's Detection Engineering Behavior Maturity Model](https://www.elastic.co/security-labs/elastic-releases-debmm) - Elastic 衡量威胁检测计划成熟度的定性和定量方法。 - [Prioritizing Detection Engineering | Ryan McGeehan](https://medium.com/starting-up-security/prioritizing-detection-engineering-b60b46d55051) - 一位经验丰富的检测工程师概述了应如何从零开始构建检测工程计划。 - [Detection Engineering Field Manual | Zack Allen](https://www.detectionengineering.net/s/field-manual) - 一系列探索检测工程各种基础组件的文章。 - [Open Threat Informed Detection Engineering aka OpenTide'](https://github.com/OpenTideHQ) - 由欧盟委员会创建和维护的一体化检测工程操作框架，用于将您的 CTI（网络威胁情报）转换为可操作的检测覆盖图，结合威胁向量和检测目标，并通过 detection-as-code 部署系统从中央存储库管理您的整个检测库。OpenTide 格式旨在衡量和扩展检测覆盖范围，其规则部署引擎完全可扩展，并并行支持多个平台（利用所有技术功能和本机查询语言）。OpenTide 既可以在单个 DE 团队内作为主要框架工作，也可以在 SOC 内部作为通用格式工作，以促进数据交换。 ## 检测内容与特征码 - [Rulehound](https://rulehound.com) - 公共和开源威胁检测规则集的索引。 - [MITRE Cyber Analytics Repository (CAR)](https://car.mitre.org) - MITRE 维护良好的检测内容存储库。 - [CAR Coverage Comparision](https://car.mitre.org/coverage/) - MITRE ATT&CK 技术 ID 矩阵，以及可用的 Splunk 安全内容、Elastic 检测规则、Sigma 规则和 CAR 内容的链接。 - [Sigma Rules](https://github.com/Neo23x0/sigma) - Sigma 的现成检测内容存储库。内容可以转换以供大多数 SIEM 使用。 - [Sigma rule converter](https://sigconverter.io/) - 一个开源工具，可以转换检测内容以供大多数 SIEM 使用。 - [AttackRuleMap](https://attackrulemap.com) - 开源检测规则和原子测试的映射。 - [Splunk Security Content](https://github.com/splunk/security_content) - Splunk 的开源且经常更新的检测内容，可以调整以在其他工具中使用。 - [Elastic Detection Rules](https://github.com/elastic/detection-rules/tree/main/rules) - Elastic 专为 Elastic SIEM 原生编写的检测规则。可以使用 Uncoder 轻松转换为供其他 SIEM 使用。 - [Elastic Endpoint Behavioral Rules](https://github.com/elastic/protections-artifacts/tree/main/behavior/rules) - Elastic 用 EQL 编写的端点行为（预防）规则，专为 Elastic 端点代理原生编写。 - [Elastic Yara Signatures](https://github.com/elastic/protections-artifacts/tree/main/yara/rules) - Elastic 的 YARA 特征码，在 Elastic 端点代理上运行。 - [Elastic Endpoint Ransomware Artifact](https://github.com/elastic/protections-artifacts/tree/main/ransomware/artifact.lua) - Elastic 的勒索软件产物，在 Elastic 端点代理上运行。 - [Chronicle (GCP) Detection Rules](https://github.com/chronicle/detection-rules) - Chronicle 专为 Chronicle 平台原生编写的检测规则。 - [Exabeam Content Library](https://github.com/ExabeamLabs/Content-Library-CIM2) - Exabeam 的开箱即用检测内容，与 Exabeam 通用信息模型（CIM）兼容。 - [Panther Labs Detection Rules](https://github.com/panther-labs/panther-analysis/tree/master/rules) - Panther Lab 的原生检测规则。 - [Anvilogic Detection Armory](https://github.com/anvilogic-forge/armory) - Anvilogic 的开源且公开可用的检测内容。 - [AWS GuardDuty Findings](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) - 所有 AWS GuardDuty 发现结果的列表，包括其描述和相关数据源。 - [GCP Security Command Center Findings](https://cloud.google.com/security-command-center/docs/concepts-security-sources#threats) - 所有 GCP Security Command Center 发现结果的列表，包括其描述和相关数据源。 - [Azure Defender for Cloud Security Alerts](https://docs.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference) - 所有 Azure Security for Cloud 警报的列表，包括其描述和相关数据源。 - [Center for Threat Informed Defense Security Stack Mappings](https://github.com/center-for-threat-informed-defense/security-stack-mappings) - 描述云计算平台（Azure、AWS）的内置检测功能及其与 MITRE ATT&CK 框架的映射。 - [Detection Engineering with Splunk](https://github.com/west-wind/Threat-Hunting-With-Splunk) - 一个致力于分享 SPL 检测分析的 GitHub 仓库。 - [Google Cloud Security Analytics](https://github.com/GoogleCloudPlatform/security-analytics) - 该存储库作为社区驱动的示例安全分析列表，用于审核 Google Cloud 中的云使用情况，以及检测针对您的数据和云工作负载的威胁。 - [KQL Advanced Hunting Queries & Analytics Rules](https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules) - 针对 Microsoft Defender for Endpoint、Defender For Identity 和 Defender For Cloud Apps 的端点检测和搜寻查询列表。 - [Sigma2KQL](https://github.com/Khadinxc/Sigma2KQL) - 一个包含所有转换为 KQL 的 SIGMA 规则的存储库，该存储库每周运行一次以进行更新，并与 SIGMA 规则存储库的最新版本保持一致。 - [TerraSigma](https://github.com/Khadinxc/TerraSigma) - 一个包含所有转换为 Microsoft Sentinel Terraform 计划分析资源的 SIGMA 规则的存储库。该存储库每周运行一次以进行更新，并与 SIGMA 规则存储库的最新版本保持一致。已完成正确的实体映射，以确保该存储库是即插即用的。 - [Detections Digest | Sergey Polzunov](https://detections-digest.rulecheck.io) - 一份时事通讯，汇集了此处列出的许多流行检测内容源的更新。 ## 日志记录、监控与数据源 - [Windows Logging Cheatsheets](https://www.malwarearchaeology.com/cheat-sheets) - 多份速查表，概述了在不同粒度级别下进行 Windows 事件日志记录的建议。 - [Linux auditd Detection Ruleset](https://github.com/Neo23x0/auditd/blob/master/audit.rules) - Linux auditd 规则集，可生成威胁检测用例所需的遥测数据。 - [MITRE ATT&CK Data Sources Blog Post](https://medium.com/mitre-attack/defining-attack-data-sources-part-i-4c39e581454f) - MITRE 描述了各种数据源及其与 MITRE ATT&CK 框架中发现的 TTP（战术、技术和过程）的关系。 - [MITRE ATT&CK Data Sources List](https://attack.mitre.org/datasources/) - 作为 v10 版本一部分添加到 MITRE ATT&CK 的数据源对象。 - [Splunk Common Information Model (CIM)](https://docs.splunk.com/Documentation/CIM/5.0.0/User/Overview) - Splunk 的专有模型，用作规范化安全数据的框架。 - [Elastic Common Schema](https://www.elastic.co/guide/en/ecs/current/ecs-getting-started.html) - Elastic 的专有模型，用作规范化安全数据的框架。 - [Exabeam Common Information Model](https://github.com/ExabeamLabs/CIMLibrary) - Exabeam 的专有模型，用作规范化安全数据的框架。 - [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/categories?extensions) - 一个开源的安全数据源和事件架构。 - [Loghub](https://github.com/logpai/loghub) - 用于研究和测试的开源且免费的安全数据源。 - [Elastalert | Yelp](https://github.com/Yelp/elastalert) - ElastAlert 是一个简单的框架，用于针对 Elasticsearch 数据中的异常、峰值或其他感兴趣的模式发出警报。 - [Matano](https://github.com/matanolabs/matano) - 用于 AWS 上的威胁搜寻、Python detections-as-code 和事件响应的开源云原生安全湖平台（SIEM 替代方案）🦀。 - [Microsoft XDR Advanced Hunting Schema](https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-schema-tables) 为了帮助进行多表查询，您可以使用高级搜寻架构，其中包含表和列，以及有关设备、警报、标识和其他实体类型的事件信息和详细信息。 - [InnerWarden](https://github.com/InnerWarden/innerwarden) - Linux 的自主安全代理，通过 38 个 eBPF 钩子、48 个检测器和 23 个关联规则提供实时威胁检测和响应。 ## 通用资源 - [ATT&CK Navigator | MITRE](https://mitre-attack.github.io/attack-navigator/enterprise/) - MITRE 的开源工具，可用于跟踪检测覆盖范围、可见性及其他工作及其与 ATT&CK 框架的关系。 - [Detection Engineering Weekly | Zack Allen](https://detectionengineering.net) - 一份致力于检测工程新闻和技巧的时事通讯。 - [Detection Engineering Twitter List | Zack Allen](https://twitter.com/i/lists/1629936556298436608) - 检测工程思想领袖的 Twitter 列表。 - [DETT&CT: MAPPING YOUR BLUE TEAM TO MITRE ATT&CK™](https://www.mbsecure.nl/blog/2019/5/dettact-mapping-your-blue-team-to-mitre-attack) - 概述了一种针对 MITRE ATT&CK 框架衡量安全数据可见性和检测覆盖范围的方法。 - [Awesome Kubernetes (K8s) Threat Detection](https://github.com/jatrost/awesome-kubernetes-threat-detection) - 另一个致力于 Kubernetes (K8s) 威胁检测的 Awesome 列表。 - [Detection and Response Pipeline](https://github.com/0x4D31/detection-and-response-pipeline) - 检测和响应流水线每个组件的工具列表，其中包括真实世界的示例。 - [Living Off the Living Off the Land](https://lolol.farm) - 一系列关于基于现有环境进行操作（Living Off the Land）的资源集合。 - [Detection at Scale Podcast | Jack Naglieri](https://podcasts.apple.com/us/podcast/detection-at-scale/id1582584270) - 一个专注于检测工程的播客，邀请了该领域的许多思想领袖。 - [Cloud Threat Landscape | Wiz](https://threats.wiz.io/all-techniques) - 一个专注于云检测工程的数据库，列出了已知入侵过云环境的威胁行为者、其武器库中的工具和技术，以及他们喜欢针对的技术。 - [Splunk ES Correlation Searches Best Practices | OpsTune](https://github.com/inodee/threathunting-spl/blob/master/Splunk%20ES%20Correlation%20Searches%20Best%20Practices%20v1.3.pdf) - 一份非常详细的指南，用于在 Splunk Enterprise Security 应用中生成高质量的检测内容。 - [How Google Does It: Making threat detection high-quality, scalable, and modern | Anton Chuvakin, Tim Nguyen](https://cloud.google.com/transform/how-google-does-it-modernizing-threat-detection) - Google 团队强调了构建高质量、可扩展和现代化威胁检测计划的 5 个关键原则。 - [SOCLabs](https://www.soc-labs.top/) - 一个面向蓝队队员和检测工程师的实验室，拥有真实的威胁数据，并支持流行的 SIEM 查询语言，能够在检测规则编写和威胁搜寻方面进行实践练习。

标签：AMSI绕过, Cloudflare, Cyber Kill Chain, MITRE ATT&CK, Pyramid of Pain, 代理支持, 告警, 威胁检测, 安全运营, 扫描框架, 日志, 检测成熟度, 检测规则, 渗透测试框架, 监控, 网络安全, 网络资产发现, 逆向工具, 防御, 防御策略, 隐私保护