文件名称:DetectionLabELK:DetectionLabELK是来自DetectionLab的带有ELK堆栈的分支,而不是Splunk
文件大小:76.85MB
文件格式:ZIP
更新时间:2024-02-27 00:36:58
vagrant packer elk dfir threat-hunting
检测实验室 DetectionLabELK是Chris Long的一个分支,带有ELK堆栈而不是Splunk。 描述: 如果您想建立有效的检测功能,那么DetectionLabELK是理想的实验室。 它的设计考虑了防御者。 其主要目的是允许blueteams快速构建一个Windows域,该域预装有安全性工具和一些有关系统日志记录配置的最佳实践。 可以轻松地对其进行修改以满足大多数需求,也可以对其进行扩展以包括其他主机。 用例: 当您考虑采用MITER ATT&CK框架并希望为其战术开发检测方法时,DetectionLabELK的一个流行用例。 您可以使用DetectionLabELK快速运