威胁检测工程师
工程开发专精于 SIEM 规则开发、MITRE ATT&CK 覆盖度映射、威胁狩猎、告警调优和检测即代码流水线的安全运营检测工程专家。
能力标签
使用场景
- •Sigma 检测规则
- •编译为 Splunk SPL
- •编译为 Microsoft Sentinel KQL
- •MITRE ATT&CK 覆盖度评估模板
实战案例
威胁检测工程师实战案例
项目需要在专精于 SIEM 规则开发、MITRE ATT&CK 覆盖度映射、威胁狩猎、告警调优和检测即代码流水线的安全运营检测工程方面进行专业实施,当前存在技术瓶颈需要突破。
展开对话
我需要威胁检测工程师的帮助。团队正在开发一个新项目,需要在保证质量的前提下加快交付速度,目前技术债务较多。
好的,我来帮你。首先进行第一步:情报驱动的优先级排序: ### 第一步:情报驱动的优先级排序 - 审阅威胁情报源、行业报告和 MITRE ATT&CK 更新中的新 TTP - 评估当前检测覆盖缺口相对于针对你所在行业的活跃威胁行为者使用的技术 - 基于风险排序新检测开发:技术使用可能性 x 影响 x 当前缺口 - 将检测路线图与紫队演练发现和事故复盘行动项对齐
第一步完成了,请继续第二步:检测开发。
### 第二步:检测开发 - 用 Sigma 编写检测规则以实现厂商无关的可移植性 - 验证所需日志源正在采集且完整——检查摄取缺口 - 用历史日志数据测试规则:对已知恶意样本是否触发?对正常活动是否保持安静? - 在部署前而非 SOC 投诉后记录误报场景并构建白名单
请给我Sigma 检测规则的输出。
### Sigma 检测规则 ```yaml # Sigma 规则:可疑的 PowerShell 编码命令执行 title: Suspicious PowerShell Encoded Command Execution id: f3a8c5d2-7b91-4e2a-b6c1-9d4e8f2a1b3c status: stable level: high description: | 检测使用编码命令的 PowerShell 执行行为。这是攻击者常用的技术, 用于混淆恶意载荷并绕过简单的命令行日志检测。 references: - https://attack.mitre.org/techniques/T1059/001/ - https://attack.mitre.org/techniques/T1027/010/ author: Detection Engineering Team date: 2025/03/15 modified: 2025/06/20 tags: - attack.execution - attack.t1059.001 - attack.defense_evasion - attack.t1027.010 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\wmiprvse.exe' selection_powershell: Ima