InfoSecJay/sigma-rules-enriched

# sigma-rules-enriched 来自 [SigmaHQ](https://github.com/SigmaHQ/sigma) 和 [LOLRMM](https://github.com/magicsword-io/LOLRMM) 的 Sigma 检测规则，使用 LLM 生成的调查指南进行了增强。 每条规则都包含一个 `note` 字段，其中包含结构化的调查指南： - **技术背景** -- 规则检测的内容以及相关的 MITRE ATT&CK 映射 - **调查步骤** -- 可操作的、与供应商无关的响应指导 - **优先级排序** -- 企业环境中的严重性推理 - **盲点与假设** -- 检测缺口和所需的日志来源 ## 工作原理 一个 [GitHub Actions 工作流](.github/workflows/enrich-rules.yml) 每日运行： 1. 克隆最新的 SigmaHQ 和 LOLRMM 仓库 2. 运行 [sigma-llm-doc](https://github.com/InfoSecJay/sigma-llm-doc) 生成调查指南 3. 仅处理新规则或已更改的规则（内容哈希 + 缓存） 4. 将增强后的输出提交回此仓库 ## 目录结构 ``` sigma-rules-enriched/ sigmahq/ # Enriched SigmaHQ rules (mirrors rules/ directory structure) sigmahq-emerging-threats/ # Enriched SigmaHQ Emerging Threats rules lolrmm/ # Enriched LOLRMM Sigma rules ``` ## 设置 要自行运行此项目，请复刻 (fork) 此仓库并将您的 `OPENAI_API_KEY` 添加为仓库 secret： 1. 前往 **Settings > Secrets and variables > Actions** 2. 添加一个名为 `OPENAI_API_KEY` 的新 secret，值为您的 OpenAI API 密钥 3. 该工作流将于每日 UTC 时间 6:00 运行，或者从 Actions 标签页手动触发 ## 下游使用 这些增强后的规则将输入到检测即代码 (detection-as-code) 流程中： ``` sigma-rules-enriched (this repo) | v Sigma-to-TOML converter | v NDJSON via Elastic detection-rules tool | v Elastic SIEM ```

标签：AMSI绕过, ATT&CK映射, Detection-as-Code, DLL 劫持, Elastic Security, GitHub Actions, LLM, LOLRMM, OpenAI, Petitpotam, SigmaHQ, Sigma规则, Unmanaged PE, 内存规避, 大语言模型, 威胁检测, 安全运营, 扫描框架, 目标导入, 网络安全, 自动化响应, 自动笔记, 规则扩充, 调查指南, 远程监控管理, 速率限制处理, 邮件枚举, 隐私保护