wahidhendrawan/Detection-Rules

# SIEM 检测规则 本仓库包含多种 SIEM 平台的 **检测规则** 集合 （Sigma、Elastic / Kibana、Splunk 以及通用查询）。结构设计便于维护和扩展。 ## 仓库结构 ``` siem-detection-rules/ ├─ README.md ├─ LICENSE ├─ .gitignore ├─ sigma/ │ ├─ windows/ │ ├─ linux/ │ ├─ network/ │ └─ cloud/ ├─ elastic/ │ ├─ endpoint/ │ └─ network/ ├─ splunk/ └─ queries/ ``` ## 规则格式 - **Sigma**：`.yml` 文件遵循 Sigma 规范（title、id、logsource、detection、fields、tags）。 - **Elastic**：`.ndjson` 文件包含导出的 KQL/EQL 检测规则（每行一条规则）。 - **Splunk**：`.spl` 文件包含 SPL 查询及 `#` 注释。 - **Queries**：`.kql`、`.eql` 或 `.sql` 文件用于其他用途（排查/临时查询）。 ## 命名约定 - 使用平台与类别前缀： - `win_`、`lnx_`、`net_`、`cloud_` - 使用简短清晰的词汇，例如： - `win_powershell_suspicious_encoded_command.yml` - `net_dns_suspicious_tunnel.yml` ## MITRE ATT&CK 标签 建议每条规则添加以下标签： - `attack.tXXXX`（例如：`attack.t1059`） - `attack.txxxx.mXXXX`（针对子技巧，例如：`attack.t1059.001`） - `attack.execution`、`attack.discovery` 等 ## 快速使用 1. **Sigma** - 使用 `sigma-cli` 转换为后端格式（Elastic/Splunk/QRadar 等）： sigma convert -t es-qs -o out/ elastic/sigma/windows/win_powershell_suspicious_encoded_command.yml 2. **Elastic** - 通过以下方式导入 `.ndjson` 文件： - *Stack Management* → *Saved Objects* → *Import* 3. **Splunk** - 将 `.spl` 查询复制到 *Correlation Search* 或 *Scheduled Search*。 ## 贡献 1. 在对应平台文件夹中添加或修改规则。 2. 确保包含： - `title`、`description`、`status`、`author`、`date`、`references`（如有）。 - 在 `tags` 中添加 MITRE ATT&CK 映射。 3. 提交 PR 到主分支。

标签：AMSI绕过, Cloudflare, EDR, Homebrew安装, MITRE ATT&CK, QRadar, T1059, Wazuh, 可疑编码, 命令行注入, 威胁检测, 安全运营, 开源规则, 扫描框架, 日志平台, 日志检索, 检测规则, 狩猎查询, 端点检测, 结构化规则, 网络资产发现, 脆弱性评估, 规则导出, 规则维护