EssexRich/LogSources_SigmaRules

# LogSources 与 Sigma 规则库 针对 Windows、Linux、macOS 和云平台威胁检测的综合日志源字段映射与 Sigma 检测规则。 ## 结构 - **`logsources.json`** - 包含所有受支持产品和服务字段映射的主日志源库 - **`sigma-rules/`** - 生成的 Sigma 检测规则（每个 MITRE ATT&CK 技术对应一条） - **`scripts/`** - 生成和实用脚本 ## 覆盖的日志源 ### 操作系统 - Windows (Event Log, Sysmon, ETW) - Linux (auditd, osquery, journalctl) - macOS (Unified Logging, ESF, osquery) ### 云平台 - Microsoft: M365, Defender, Defender for Cloud, Entra ID - Google: Workspace, Cloud Logging ## Sigma 规则 规则根据日志源和 MITRE ATT&CK 技术数据自动生成。每条规则包括： - MITRE 技术参考 - 日志源定义 - 受支持产品的字段映射 - 检测逻辑 - 经过 SEO 优化的描述 ## 生成 规则和日志源通过 IncidentBuddy 的管理界面生成。有关生成逻辑，请参阅 `scripts/generate-logsources.js`。 ## 用法 在您的检测规则生成流程中导入 `logsources.json` 以： 1. 将抽象 Sigma 字段映射到特定产品的字段名称 2. 为特定日志源生成规则 3. 将规则转换为 SIEM 特定格式 ## 许可证 MIT

标签：AMSI绕过, Cloudflare, Conpot, Defender, Detection Engineering, EDR, Homebrew安装, Linux审计, M365, macOS日志, MITRE ATT&CK, Python 实现, Sigma规则, Sysmon, URL发现, Windows安全, 威胁检测, 字段映射, 安全检测, 安全运营, 并发请求, 扫描框架, 数据可视化, 日志源映射, 目标导入, 脆弱性评估, 自定义脚本, 自定义脚本, 自定义脚本