k3rnelcallz/Sigma-Rules

# Sigma 规则 **用于日志检测的 Sigma 规则** —— 一个由社区驱动的 Sigma 格式威胁检测内容目录，专注于现实世界中的恶意软件和可疑行为模式。 本仓库包含用于识别日志数据中恶意活动和异常情况的 Sigma 检测规则，适合转换为 SIEM 查询语言（例如 Elastic、Splunk、QRadar）。 :contentReference[oaicite:0]{index=0} ## 📌 什么是 Sigma？ Sigma 是一种开放且独立于供应商的签名格式，用于描述日志事件和检测逻辑。它允许安全团队编写一次检测规则，然后将其转换为特定的 SIEM 查询语言。 :contentReference[oaicite:1]{index=1} 可以将 Sigma 视为**日志领域的 YARA** —— 结构化、可共享且与 SIEM 无关。 ## 📁 仓库结构 | 文件夹 / 文件 | 描述 | |---------------|-------------| | `*.yml` | 涵盖可疑行为的独立 Sigma 规则 | | `README.md` | 本文档 | | 即将推出的文件夹 | （例如 `windows/`、`linux/`、`attack_tactics/`）—— 用于未来的规则分类 | 每条规则包含元数据、检测逻辑、标签，并在适当情况下映射到 MITRE ATT&CK。 ## 🚀 如何使用这些规则 1. **克隆本仓库** git clone https://github.com/k3rnelcallz/Sigma-Rules.git

标签：AMSI绕过, CCTV/网络接口发现, Cloudflare, Conpot, MITRE ATT&CK, PB级数据处理, QRadar, Sigma规则, Windows安全, YARA, 云计算, 云资产可视化, 威胁检测, 安全信息与事件管理, 安全运维, 异常行为检测, 搜索引擎爬取, 数据展示, 目标导入, 红队, 网络安全, 规则引擎, 隐私保护