Jayanthaa-1/sigma-rules-sample

# SIGMA 规则示例仓库 此仓库包含为 Windows 环境创建的基础 SIGMA 检测规则，以及在 Splunk 等 SIEM 工具中进行测试和部署的相关资源。 ## 内容概览 - **rules** 包含定义了可疑 `cmd.exe` 和 `powershell.exe` 用法的 SIGMA 规则的 YAML 文件。 - **converted-rules** SIGMA 规则的 SPL (Splunk Processing Language) 版本，用于 Splunk 仪表板或告警。 - **lab-setup** 包括： - `sysmon-config.xml` – 用于记录进程创建的基础配置。 - `test-log.evtx` – 用于测试的示例日志。 - 用于生成测试事件的模拟脚本。 ## 使用方法 1. 使用提供的配置设置 Sysmon。 2. 运行 PowerShell 模拟脚本以生成日志。 3. 将日志导入到你的 SIEM 中。 4. 使用转换后的 SPL 规则来搜索检测结果。 5. 根据需要审查并调整检测逻辑。 ## 仅作学习示例代码

标签：AI合规, AMSI绕过, Conpot, EDR, Libemu, PowerShell安全, SIGMA规则, SPL, Sysmon, TGT, Windows安全, YAML, 命令行监控, 威胁检测, 安全库, 安全运营, 实验环境, 扫描框架, 攻防演练, 网络安全, 脆弱性评估, 隐私保护