Awesome Detection Engineering 使用教程
项目介绍
Awesome Detection Engineering 是一个专注于检测工程的资源集合,旨在帮助网络安全防御团队设计和实施侦测控制,以主动识别恶意或未经授权的活动。该项目收集了与检测工程相关的概念、框架、内容和签名、日志监控和数据源等资源。
项目快速启动
克隆项目
首先,克隆项目到本地:
git clone https://github.com/infosecB/awesome-detection-engineering.git
cd awesome-detection-engineering
浏览资源
项目目录结构如下:
awesome-detection-engineering/
├── README.md
├── CONTRIBUTING.md
├── LICENSE
└── docs/
├── Concepts & Frameworks.md
├── Detection Content & Signatures.md
├── Logging Monitoring & Data Sources.md
└── General Resources.md
你可以通过阅读 README.md
和各个子目录下的文档来了解项目的详细内容。
应用案例和最佳实践
应用案例
-
Splunk ES 相关搜索最佳实践:
- 在 Splunk Enterprise Security 应用中,使用高质量的检测内容来提高检测效率。
- 参考 OpsTune 指南 获取详细的最佳实践。
-
AWS 上的 Python 检测和事件响应:
- 使用 Python 编写检测脚本,并在 AWS 上部署,实现自动化的事件响应。
最佳实践
-
使用 MITRE ATT&CK 框架:
- 利用 MITRE ATT&CK 框架来设计和实施检测策略,确保覆盖所有已知的攻击技术和战术。
-
持续监控和改进:
- 定期审查和更新检测规则,确保它们能够适应新的威胁和攻击手段。
典型生态项目
-
MITRE ATT&CK Navigator:
- MITRE 的开源工具,用于跟踪检测覆盖范围和可见性,并与 ATT&CK 框架关联。
-
Detection Engineering Weekly:
- Zack Allen 维护的时事通讯,专注于检测工程的新闻和操作指南。
-
DETT&CT:
- 一个方法论,用于将蓝队的工作映射到 MITRE ATT&CK 框架,帮助衡量检测策略的有效性。
通过这些资源和工具,你可以更好地理解和实施检测工程,提高网络安全防御的能力。