Detection Engineering

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

correlating-security-events-in-qradar 可帮助 SOC 和检测团队结合 AQL、offense 上下文、自定义规则和 reference data 来关联 IBM QRadar offenses。可用本指南调查事件、降低误报，并为 Incident Response 构建更强的关联逻辑。

building-detection-rule-with-splunk-spl 帮助 SOC 分析师和检测工程师构建用于威胁检测、调优和 Security Audit 审查的 Splunk SPL 关联搜索。可将一份检测简报转化为可部署的规则，并提供 MITRE 映射、富化和验证指导。