WojciechCiemski/Detections-Sigma

# Sigma 检测 一个精选的与供应商无关的 Sigma 规则集合，用于 SOC 监控、威胁狩猎、检测工程和安全实验室工作。 该仓库现在涵盖了 Windows 行为检测、Linux 行为检测，以及针对 2025 年观察到的高影响利用活动的 CVE 专属规则。 ## 仓库布局 ``` rules/ _templates/ template_rule.yml cve/ 2025/ cve-2025-*.yml linux/ linux_*.yml windows/ *.yml tools/ sigma_rule_checker.py ``` ## 当前覆盖范围 | 领域 | 规则数量 | 侧重点 | |------|------------|-------| | Windows | 26 | 凭据访问、PowerShell、LOLBins、WMI、服务、脚本宿主、宏执行 | | Linux | 7 | SSH 暴力破解、内核模块、netcat 监听器、shadow 文件访问、sudo 异常、tmp 执行、cron shell | | CVE 2025 | 16 | 针对被广泛滥用的漏洞的利用和后利用指标 | 检测规则总数：49。 ## CVE 2025 覆盖范围 | 漏洞 | 覆盖范围 | 规则文件 | |---------------|----------|------------| | CVE-2025-0282 Ivanti Connect Secure | 后利用命令和 SPAWN 恶意软件文件指标 | `cve-2025-0282-ivanti-post-exploitation-commands.yml`, `cve-2025-0282-ivanti-spawn-malware-files.yml` | | CVE-2025-24813 Apache Tomcat | 可疑的部分 PUT 上传行为 | `cve-2025-24813-tomcat-partial-put-abuse.yml` | | CVE-2025-29927 Next.js | Middleware 绕过标头滥用 | `cve-2025-29927-nextjs-middleware-bypass-header.yml` | | CVE-2025-31324 SAP NetWeaver | Metadata uploader 访问和 JSP webshell 访问 | `cve-2025-31324-sap-metadata-uploader-access.yml`, `cve-2025-31324-sap-webshell-access.yml` | | CVE-2025-31161 CrushFTP | AWS4-HMAC 身份验证绕过模式 | `cve-2025-31161-crushftp-aws4-hmac-auth-bypass.yml` | | CVE-2025-3248 Langflow | Validate-code 未认证 RCE 尝试 | `cve-2025-3248-langflow-validate-code-rce.yml` | | CVE-2025-32756 Fortinet FortiVoice | FastCGI 崩溃指标和恶意软件文件 IOC | `cve-2025-32756-fortinet-fortivoice-fcgi-crash-iocs.yml`, `cve-2025-32756-fortinet-fortivoice-malware-file-iocs.yml` | | CVE-2025-34028 Commvault | Deploy package 遍历和 JSP webshell 访问 | `cve-2025-34028-commvault-deploy-webpackage-traversal.yml`, `cve-2025-34028-commvault-jsp-webshell-access.yml` | | CVE-2025-4427 / CVE-2025-4428 Ivanti EPMM | 表达式语言和 Java 执行原语 | `cve-2025-4427-4428-ivanti-epmm-el-injection-api-request.yml` | | CVE-2025-53770 SharePoint ToolShell | ToolPane 请求模式和 `spinstall0.aspx` 访问 | `cve-2025-53770-sharepoint-toolshell-toolpane-request.yml`, `cve-2025-53770-sharepoint-spinstall0-machinekey-access.yml` | | CVE-2025-59718 / CVE-2025-59719 Fortinet | FortiCloud SSO 管理员登录和配置下载活动 | `cve-2025-59718-59719-fortinet-forticloud-sso-admin-config-download.yml` | ## 内容详情 - YAML 格式的即用型 Sigma 规则 - 通过 `attack.*` 标签映射 MITRE ATT&CK - 用于针对漏洞的检测的 CVE 标签 - 每个规则中包含误报指南 - 引用供应商公告、漏洞数据库或威胁研究 - `rules/_templates/` 下的可重用规则模板 ## 如何使用 克隆仓库： ``` git clone https://github.com/WojciechCiemski/Detections-Sigma.git cd Detections-Sigma ``` 按检测领域浏览规则： ``` ls rules/windows ls rules/linux ls rules/cve/2025 ``` 使用您的 Sigma 工具链转换规则。根据您使用的是 `sigma-cli`、`sigmac` 还是 SIEM 原生集成，后端名称和命令语法可能会有所不同。 使用 Sigma CLI 示例： ``` sigma convert -t splunk rules/windows/lsass-access.yml sigma convert -t splunk rules/cve/2025/cve-2025-53770-sharepoint-toolshell-toolpane-request.yml ``` 使用旧版 sigmac 示例： ``` sigmac -t splunk rules/windows/lsass-access.yml ``` ## 规则状态 | 状态 | 含义 | |--------|---------| | `experimental` | 新的或草拟的检测逻辑，在生产环境使用前应进行调优和验证 | | `testing` | 可在实验室或受控测试中运行，但仍需更广泛的环境验证 | | `stable` | 已确认且适合生产环境使用，只需进行常规调优 | | `deprecated` | 已被替代、过时或不再推荐使用 | ## 规则质量要求 每个规则应包含： - `title` - `id` - `status` - `description` - `author` - `date` - `license` - `logsource` - 带有 `condition` 的 `detection` - `falsepositives` - `level` - `tags` - `references` 对于专注于 CVE 的规则，至少包含一个 `cve.YEAR.ID` 标签和一个相关的 MITRE ATT&CK 技术标签。 ## 调优说明 Sigma 规则是故意设计为可移植的，但实际环境各不相同。在生产环境中启用告警之前： - 将 Sigma 字段映射到您的 SIEM 或数据模型 - 验证日志源的可用性和字段名称 - 针对具有代表性的良性和恶意样本进行测试 - 查看误报说明 - 调整严重程度和过滤条件以匹配您的环境 ## 许可证 该仓库在 MIT 许可证下授权。详情请参见 `LICENSE`。 ## 作者 由 [Wojciech Ciemski](https://www.linkedin.com/in/wojciech-ciemski) 创建并维护 - [SecurityBezTabu.pl](https://securitybeztabu.pl)

标签：AMSI绕过, Claude, Conpot, CVE检测, Reconnaissance, Sigma规则, SOC监控, Windows安全, 威胁检测, 安全运营, 扫描框架, 目标导入, 知识库安全, 逆向工具