erickatwork/threat-detection-engineering-reference

GitHub: erickatwork/threat-detection-engineering-reference

一份精选的威胁检测工程与事件响应参考资料库,整合了核心框架、工具生态、检测规则来源及外部资源,帮助安全从业者快速建立领域全貌认知。

Stars: 10 | Forks: 0

# 威胁检测工程参考 [![Awesome](https://awesome.re/badge.svg)](https://awesome.re) [![Stars](https://img.shields.io/github/stars/erickatwork/threat-detection-engineering-reference?style=social)](https://github.com/erickatwork/threat-detection-engineering-reference/stargazers) [![Last Commit](https://img.shields.io/github/last-commit/erickatwork/threat-detection-engineering-reference)](https://github.com/erickatwork/threat-detection-engineering-reference/commits/main) [![PRs Welcome](https://img.shields.io/badge/PRs-welcome-brightgreen.svg)](#contributing) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) **目标受众:** 检测工程师、SOC 分析师、威胁狩猎者和安全负责人,他们希望快速建立对该领域的思维导图 —— 核心框架(Kill Chain、ATT&CK、Pyramid of Pain)、检测即代码生态系统、即用型检测规则来源以及最佳的外部参考 —— 而无需费力阅读大量的博客文章。 ## 目录 * [框架](#frameworks) * [事件响应生命周期](#incident-response-lifecycle) * [Cyber Kill Chain](#cyber-kill-chain) * [行动方案矩阵](#courses-of-action-matrix) * [Pyramid of Pain](#pyramid-of-pain) * [1-10-60 规则](#1-10-60-rule) * [网络安全防御成熟度计分卡](#cybersecurity-defense-maturity-scorecard) * [检测工程成熟度矩阵](#detection-engineering-maturity-matrix) * [ATT&CK](#attck) * [DeTT&CT](#dettct) * [检测即代码](#detections-as-code-dac) * [分布式告警](#distributed-alerting-da) * [基于风险的告警](#risk-based-alerting-rba) * [紫队](#purple-teaming) * [数据科学](#data-science) * [威胁建模](#threat-modeling) * [威胁情报](#threat-intelligence) * [检测规则 / 特征](#detection-rules--signatures) * [资源](#resources) * [笔记](#notes) * [贡献](#contributing) ## 框架 ### 事件响应生命周期 ![sans-incident-response-plan.jpg](https://static.pigsec.cn/wp-content/uploads/repos/cas/c1/c1c2b4801a40774151f4f8b99b6bde32b77debcc2c9e57018353d87aeaefa3ee.jpg) [SANS](docs/sans-incident-handlers-handbook.pdf) 概述了事件的 6 个阶段。 ![nist-incident-response-lifecycle.jpg](https://static.pigsec.cn/wp-content/uploads/repos/cas/a2/a271a67cb9b9cb38a84948feab0c7fcd23576e9b90eb0d7338edd0f501c227f2.jpg) [NIST](docs/nist-incident-response-lifecycle.pdf) 概述了 4 个阶段。 ### Cyber Kill Chain ![killchain.png](https://static.pigsec.cn/wp-content/uploads/repos/cas/6c/6ce4c02ef8c292e6c810ab4ad36309669ac5f671f5eaba4d2ae408df39f15c23.png) [Lockheed Martin](docs/LM-White-Paper-Intel-Driven-Defense.pdf) 将入侵分解为 7 个定义明确的阶段,并有助于识别将单次入侵联系为更大规模攻击活动的模式。这 7 个阶段涵盖了单次入侵的所有阶段 —— 成功完成后 —— 将导致系统被攻破。 * 明确的线性阶段序列(与 ATT&CK 不同)。 * `Reconnaissance` 和 `Weaponization` 阶段经常被忽视,但可能极具价值。 #### 行动方案矩阵 ![Lockheed Martin](https://static.pigsec.cn/wp-content/uploads/repos/cas/86/8637cd13bd754f4fc45d511b223aea518e23296df8d3a05c1282ffaa45946159.png) Cyber Kill Chain 的一部分。防御者可以衡量这些行动的绩效和有效性,并规划投资路线图以纠正任何能力差距。 * 评估能力和差距的宝贵工具。 ### Pyramid of Pain ![Pyramid-of-Pain-v2.png](https://static.pigsec.cn/wp-content/uploads/repos/cas/31/31427c016626cea5fa41cbb9c15f25b5dec0601f13f079322a96368f7a0d4ce7.png) [David J Bianco](https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html) 展示了你可能用来检测对手活动的指标类型之间的关系,以及当你能够阻止对手使用这些指标时,会给他们带来多大的“痛苦”。 * 痛苦对对手和分析人员来说都是双向的。对于分析人员来说,编写哈希检测是*微不足道的*,而编写 TTP(战术、技术和程序)检测则*非常困难*。 * 原子指标可能比行为检测提供更高的可信度,但行为检测具有更长的生命周期。 * 在确定检测规则优先级时,记住这一点很有用。 ### 1-10-60 规则 [CrowdStrike](https://www.crowdstrike.com/blog/first-ever-adversary-ranking-in-2019-global-threat-report-highlights-the-importance-of-speed/) 调查发现,2017 年的平均“突破时间”为 1 小时 58 分钟。突破时间表示入侵者从最初攻陷的系统(“立足点”)跳转并在网络中向其他机器进行横向移动所需的时间。 * 1 分钟检测,10 分钟调查,60 分钟修复。 * 在讨论数据接入延迟、工作时间和值班时非常有用。 ### 网络安全防御成熟度计分卡 ![defense-maturity-scorecard.jpg](https://static.pigsec.cn/wp-content/uploads/repos/cas/59/5937ca95eacdb56cf316875393f91d52d9d2165e2282f9aa13a13f0a4c4730d9.jpg) ![defense-maturity-scorecard-score.png](https://static.pigsec.cn/wp-content/uploads/repos/cas/83/83a90c15cbf4668d028f5aacbacec57eadc798dd90315fbedfd4c003a8ae6612.png) [Not-Sure-Who-Invented-This](docs/Scorecard_Cybersecurity-Defense-Maturity-Evaluation.pdf) 定义了跨关键领域的网络安全成熟度。 * 用于董事会成熟度评估的得力工具 ### 检测工程成熟度矩阵 ![detection-maturity-matrix.png](https://raw.githubusercontent.com/erickatwork/threat-detection-engineering-reference/main/images/detection-maturity-matrix.png) * [Github](https://github.com/k-bailey/detection-engineering-maturity-matrix) & [detectionengineering.io](https://detectionengineering.io) * [文章](https://kyle-bailey.medium.com/detection-engineering-maturity-matrix-f4f3181a5cc7) 和 [SANS 蓝队峰会演讲](https://www.youtube.com/watch?v=Dxccs8UDu6w&list=PLs4eo9Tja8biPeb2Wmf2H6-1US5zFjIxW&index=11) * 已转换为 [Google 表格](https://docs.google.com/spreadsheets/d/13hKfYXk1t1tfzsz59GsIOAcWen4QakUgj1OznZz-eHE/edit?usp=sharing) ### ATT&CK [MITRE](https://attack.mitre.org/) ATT&CK 是一个基于现实世界观察的、全球可访问的对手战术和技术知识库。关于它的著述已经足够多了。 ### DeTT&CT [Rabobank CDC](https://github.com/rabobank-cdc/DeTTECT) DeTT&CT 旨在帮助蓝团队利用 ATT&CK 对数据日志源质量、可见性覆盖范围、检测覆盖范围以及威胁行为者的行为进行评分和比较。 ### 检测即代码 基础设施即代码原则在检测中的应用。这允许你对检测进行版本控制,并将相同的 CI/CD 原则应用于你的检测,就像你对待基础设施那样。 * [Splunk](https://www.splunk.com/en_us/blog/security/ci-cd-detection-engineering-splunk-security-content-part-1.html) 有一个名为 [Splunk Security Content](https://github.com/splunk/security_content) 的开源项目 - Elastic 有一个名为 [Detection Rules for Elastic Security](https://github.com/elastic/detection-rules) 的开源项目 * Carta 发布了他们自己的工具,名为 [Krang](https://github.com/carta/krang) ### 分布式告警 由 Slack 在这篇[博客文章](https://slack.engineering/distributed-security-alerting/)中推广。其概念是将告警分类的负担从分析人员转移到相关团队。可以通过 2FA 完成额外的验证。 * 非常适合配置错误类型的告警,例如暴露在互联网上的服务器、合规性要求、RBAC。 ### 基于风险的告警 ![risk-based-alerting.png](https://static.pigsec.cn/wp-content/uploads/repos/cas/84/8448a95157db770a271ba5e04f2b4e9ef6de06bfa342dd19fd66233a7f9e0b3d.png) 基于风险的告警(RBA)为团队提供了一个独特的机会,将 SOC 中的资源从传统的被动响应功能转移到主动防御功能上。检测内容会被标记上观察结果和元数据以产生评分。然后,通过某些分组方式(例如用户、IP、源)对告警进行关联,如果相关风险高于某个分数,就会触发告警。 * [Splunk 文章](https://www.splunk.com/en_us/blog/security/risk-based-alerting-the-new-frontier-for-siem.html) * [视频](https://conf.splunk.com/files/2018/recordings/say-goodbye-to-your-sec1479.mp4) ### 紫队 通过紫队演练来创建/启发检测。 * 工具 [atomic-red-team](https://github.com/redcanaryco/atomic-red-team) * 工具 [stratus-red-team](https://github.com/DataDog/stratus-red-team) ### 数据科学 * [Strip](https://www.youtube.com/watch?v=-9BfXMYn0wk) 的会议演讲 ### 威胁建模 威胁建模旨在识别、传达和理解威胁及其缓解措施,以保护有价值的事物。 * 文章 [owasp](https://owasp.org/www-community/Threat_Modeling) * [威胁建模宣言](https://www.threatmodelingmanifesto.org/) - 有效威胁建模的价值观和原则。 ### 威胁情报 威胁情报是经过收集、处理和分析的数据,旨在了解威胁行为者的动机、目标和攻击行为。威胁情报使我们能够做出更快、更明智、有数据支持的安全决策,并在对抗威胁行为者的过程中将行为模式从被动转变为主动。 * [crowdstrike](https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/) 的文章 ## 检测规则 / 特征 * [SigmaHQ](https://github.com/SigmaHQ/sigma/tree/master/rules) * [Mitre](https://car.mitre.org/analytics/) * [Splunk](https://github.com/splunk/security_content) * [Elastic](https://github.com/elastic/detection-rules/tree/main/rules) * [Datadoghq](https://docs.datadoghq.com/security_platform/default_rules/) * [Streamalert](https://github.com/airbnb/streamalert/tree/master/rules/community) * [Azure](https://github.com/Azure/Azure-Sentinel/tree/master/Solutions) * [Okta](https://sec.okta.com/shareddetections) * MacOS [LooBins macOS Binaries](https://www.loobins.io/) ## 资源 ### 检测工程 * [Detection Engineering Weekly](https://www.detectionengineering.net/) - Zack Allen 的时事通讯(超过 1.6 万订阅者),精选每周顶尖的检测工程内容、工具和研究。保持跟进最新动态的最佳单一途径。 * [检测工程成熟度矩阵](https://detectionengineering.io/) - Kyle Bailey 的矩阵,用于跨人员、流程和技术衡量和对标你的检测功能。 * [Awesome Detection Engineering](https://github.com/infosecB/awesome-detection-engineering) - 社区精选的 DE 工具、博客和参考名录大全。 * [Awesome Detection Rules](https://github.com/jatrost/awesome-detection-rules) - 跨 SIEM/EDR 平台的开源检测规则仓库汇总集合。 * [Florian Roth 的博客](https://cyb3rops.medium.com/) - 来自 Sigma 创建者的关于检测规则质量、Sigma 和 YARA 的深入、实用的文章。 * [安全工程学习笔记](https://github.com/gracenolan/Notes/blob/master/interview-study-notes-for-security-engineering.md) - 涵盖检测/安全工程基础的优秀备考笔记。 * [scrty.io](https://scrty.io/) - 精选的安全工程参考资料与阅读列表。 * [The DFIR Report](https://thedfirreport.com/) - 包含 TTP、工件和检测的真实入侵报告,你可以将其转化为检测规则。 ### 威胁情报 / 查询 (IP, URL, Domain, File) * [Cisco Talos Reputation Center](https://talosintelligence.com/reputation_center) - IP/域名信誉以及电子邮件/Web 流量洞察。 * [VirusTotal](https://www.virustotal.com/) - 多引擎文件、URL、域名和 IP 分析。 * [urlscan.io](https://urlscan.io/) - 记录 URL 所有行为(请求、截图、DOM)的沙箱。 * [Cloudflare Radar URL Scanner](https://radar.cloudflare.com/scan) - 带有截图和技术检测的免费 URL 扫描器。 * [DomainTools Whois](https://whois.domaintools.com/) - 用于信息丰富/拓展的 Whois 和域名注册查询。 * [MaxMind GeoIP](https://www.maxmind.com/en/geoip-databases) - 用于信息丰富的 IP 地理定位和 ASN 数据库。 * [AbuseIPDB](https://www.abuseipdb.com/) - 众包的 IP 滥用报告和信誉检查。 * [GreyNoise](https://viz.greynoise.io/) - 告诉你哪些 IP 正在对互联网进行大规模扫描,哪些是针对你的,非常适合用于减少告警噪音。 * [Shodan](https://www.shodan.io/) - 用于搜索暴露在互联网上的主机和服务的搜索引擎。 ### 映射与知识库 * [MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) - 可视化和标注 ATT&CK 覆盖层。 * [LOLBAS](https://lolbas-project.github.io/) - Windows 上被滥用的“就地取材”二进制文件、脚本和库。 * [GTFOBins](https://gtfobins.github.io/) - 可被滥用于绕过本地安全限制的 Unix 二进制文件。 * [LOOBins](https://www.loobins.io/) - macOS 的“就地取材”二进制文件。 ### OSINT * [OSINT4all (start.me)](https://start.me/p/L1rEYQ/osint4all) - 大型精选 OSINT 工具仪表板。 * [OSINT Framework](https://osintframework.com/) - 按数据类型组织的 OSINT 资源树。 ## 笔记 * 指标类型 * 原子 - 原子指标是指那些不能被分解成更小部分,并且在入侵上下文中仍能保留其含义的指标。典型的例子包括 IP 地址、电子邮件地址和漏洞标识符。 * 计算 - 计算指标是指从事件相关数据中推导出来的指标。常见的计算指标包括哈希值和正则表达式。 * 行为 - 行为指标是计算指标和原子指标的集合,通常受数量限制,并可能包含组合逻辑。例如这样一个陈述:“入侵者最初会使用一个后门,该后门以 [某个频率] 向 [某个 IP 地址] 生成与 [正则表达式] 匹配的网络流量,一旦建立访问权限,就会将其替换为与 MD5 哈希 [值] 匹配的后门。” ## 贡献 欢迎并鼓励大家贡献——更多的人参与会让这个列表变得更好。 * 发现了失效链接、错别字或过时的资源?请提交 [issue](https://github.com/erickatwork/threat-detection-engineering-reference/issues) 或 pull request。 * 想要添加框架、工具或资源?请提交 PR。请保持内容简明扼要,包含链接,并添加一行关于*为什么*它是有用的说明(而不仅仅是它*是什么*)。 * 保持格式与现有章节一致,并将新条目置于最相关的标题下。 详情请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。如果这份参考资料节省了你的时间,请给仓库点个 ⭐,以便其他人也能找到它。
标签:AMSI绕过, 威胁情报, 威胁检测, 安全, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 紫队, 超时处理