matt-detects/sigma-rules

# Sigma 规则 本仓库包含以 Sigma 格式编写并映射到 MITRE ATT&CK 技术的示例检测规则。 其目标是展示结构化的检测逻辑开发和文档记录。 ## 目标 - 编写 Sigma 检测规则 - 将规则映射到 ATT&CK 技术 - 记录检测原理 - 识别潜在的误报 - 考虑遥测依赖性 ## 展示的关键概念 - ATT&CK 技术对齐 - 行为检测逻辑 - 结构化规则文档 - 检测生命周期意识 ## 示例检测主题 - 可疑的 PowerShell 执行 - 凭据访问模式 - 异常进程派生 - 编码命令执行 ## 检测文档模板 每个规则包含： - 描述 - 日志源假设 - ATT&CK 映射 - 检测逻辑 - 潜在误报 - 建议的调优注意事项 ## 注意事项 这些规则是使用公开记录的技术为教育和实验室目的而编写的。 它们未经过生产环境加固。

标签：AMSI绕过, Cloudflare, Detection Engineering, DevSecOps, EDR, IPv6, MITRE ATT&CK, PowerShell, Python 实现, Sigma规则, 上游代理, 威胁检测, 安全运营, 扫描框架, 检测规则, 目标导入, 网络安全, 网络资产发现, 脆弱性评估, 隐私保护