Hatchepsoute/sigma-rules

       # 🛡️ SOC 运维的 Sigma 检测框架 👉🏾 [**点击此处查看法语版本** ](README_FR.md)  ## Sigma 规则 – SOC 检测工程框架 本仓库提供了一个面向生产环境的 **SOC 检测工程框架**，该框架基于 **Sigma 规则**、**CTI 驱动的分析**以及**真实攻击活动**。 此框架旨在帮助 SOC 团队： - **尽早**检测利用尝试 - 减少误报 - 即使攻击者工具不断演变，也能维持检测覆盖范围 ## 检测理念 本项目避免使用静态 IoC（哈希、文件名、IP），而是依赖于在真实 SOC 环境中验证过的、基于行为和攻击模式及不变量的检测。 检测逻辑遵循**分层、经 SOC 测试且具备弹性的方法**： - 用于可见性和威胁狩猎的 **BROAD（宽泛）** 规则 - 用于确认和高置信度告警的 **STRICT（严格）** 规则 - 对负载重命名具有弹性的**行为检测** - 针对 edge 设备和无 EDR 设备的**网络不变量** - 用于确认事件并提供上下文的**关联逻辑** 每个 CVE 检测包都记录在其专属目录中，并包含 Sigma 规则、决策表和 SOC playbook。 ## 基于活动的检测包 除了以 CVE 为中心的检测外，本仓库还包括基于真实威胁行为的**面向活动的检测包**。 这些包是基于**事件分析和 CTI 研究**构建的，而非理论攻击模型。 它们提供： - 完整的攻击生命周期覆盖 - 检测重命名或演变的负载（v2 / v3） - 网络和行为不变量 - SOC 就绪的决策表和响应 playbook ### 示例 - 包含 Sliver C2 和代理伪装的 FortiWeb 利用（基于活动的包） - 专为 SOC 预期和披露后利用监控设计的以 CVE 为重点的检测包： - Windows 内核 / 图形 / 用户态漏洞（Patch Tuesday） - Microsoft Office 漏洞 - WinRAR 漏洞 - Azure Monitor Agent 漏洞 - Microsoft Copilot 漏洞 CVE 包结合 SOC 就绪的工件（决策表、playbook、图表），使用 BROAD 和 STRICT 规则，帮助 SOC 团队预判**武器化阶段**。 ## SOC & SOAR 集成 规则专为**生产 SOC 环境**设计，可集成于： - SIEM 平台 (Elastic, OpenSearch, Splunk, Sentinel, QRadar) - SOAR 平台，例如 **TheHive**, Cortex, 和 Shuffle ## 仓库结构 每个检测包遵循**一致且可复用的结构**： - Sigma 规则 - 决策表 - Playbook - 图表 ## 如何使用本仓库 - 浏览 CVE 或活动文件夹 - 从 **BROAD 规则**开始，以获得可见性并进行狩猎 - 升级到 **STRICT 规则**以进行确认 - 使用决策表和 playbook 进行 SOC 响应和分类 ## 本仓库适用对象？ SOC 分析师 • 检测工程师 • 蓝队 • MSSP