检测实验室 DetectionLabELK是Chris Long的一个分支，带有ELK堆栈而不是Splunk。 描述： 如果您想建立有效的检测功能，那么DetectionLabELK是理想的实验室。 它的设计考虑了防御者。 其主要目的是允许blueteams快速构建一个Windows域，该域预装有安全性工具和一些有关系统日志记录配置的最佳实践。 可以轻松地对其进行修改以满足大多数需求，也可以对其进行扩展以包括其他主机。 用例： 当您考虑采用MITER ATT＆CK框架并希望为其战术开发检测方