#威胁狩猎
标签 · 共 2 篇
Detection Engineering··0 分钟
检测工程的系统化实践:Sigma 规则、ATT&CK 映射与检测成熟度
SOC 的平均检测时间(MTTD)在过去三年没有显著改善,根本原因在于检测规则的开发速度跟不上攻击技术的演进。本文从 Sigma 规则生态出发,构建覆盖规则开发、ATT&CK 映射、测试验证和成熟度评估的检测工程体系,提供可直接复用的工程模板和度量指标。
#检测工程#Sigma规则#MITRE ATT&CK
红蓝队··0 分钟
Windows 端点防御的猫鼠游戏:EDR 绕过技术与行为检测对抗
2020-2025 年,端点安全攻防从'绕过检测'演进为'终止 EDR'。本文从攻击者视角解析 EDR 用户层 Hook、ETW 致盲、间接系统调用等核心绕过技术,再从防御者视角构建基于行为异常和网络遥测的检测体系,最后提出紫队验证的实战框架。
#EDR#端点安全#红蓝对抗