shubham8174/MITRE-ATTandCK-Detection-Rules

# 🎯 MITRE ATT&CK 检测规则     ## 📌 概述 检测工程是高效 SOC 的基石。该仓库包含精心编写的 SIGMA 规则，旨在检测企业环境中最具影响力的攻击者技术。每条规则都包含误报上下文、严重性分类和修复指导 —— 可随时部署到 Chronicle、Splunk、Microsoft Sentinel 或任何兼容 SIGMA 的 SIEM 中。 ## 🛡️ 包含的规则 | 规则 | MITRE ID | 战术 | 严重性 | |---|---|---|---| | 可疑的 PowerShell 执行 | T1059.001 | Execution | HIGH | | LSASS 内存访问（凭证转储） | T1003.001 | Credential Access | CRITICAL | | 用于持久化的计划任务 | T1053.005 | Persistence | HIGH | | 暴力破解登录检测 | T1110 | Credential Access | HIGH | | 通过远程服务的横向移动 | T1021 | Lateral Movement | MEDIUM | | DNS 隧道 / 通过 DNS 的 C2 | T1071.004 | Command & Control | MEDIUM | ## 🚀 部署 ### 使用 sigmac 或 pySigma 转换为您的 SIEM 格式： ``` # 安装 pySigma pip install pysigma # 转换为 Splunk SPL sigma convert -t splunk detection_rules.yml # 转换为 Microsoft Sentinel KQL sigma convert -t sentinel detection_rules.yml # 转换为 Elastic (ECS) sigma convert -t elasticsearch detection_rules.yml ``` ### 直接部署在 Chronicle SIEM 中： 1. 打开 Chronicle → Detection Engine → Rules 2. 点击 **New Rule** 3. 粘贴转换后的规则 4. 设置警报严重级别并启用 ## 📋 规则详情分解 ### 🔴 T1059.001 — 可疑的 PowerShell 检测编码命令、下载载体和执行策略绕过 —— 这是无文件恶意软件和 PowerShell Empire 及 Cobalt Strike 等后渗透框架中最常用的技术。 **关键指标：** - `-EncodedCommand` 或 `-enc` 标志 - 命令行中的 `IEX` / `Invoke-Expression` - `DownloadString` / `WebClient`（下载载体） - `-ExecutionPolicy Bypass` 与 `-nop -hidden` 组合使用 ### 🔴 T1003.001 — LSASS 凭证转储 检测对 lsass.exe 的内存访问，特别是 Mimikatz、procdump 和类似工具使用的特定访问掩码。过滤掉合法的安全软件以减少误报。 **关键访问掩码：** - `0x1010`, `0x1410`, `0x147a`（读取 + 查询进程信息） ### 🟠 T1053.005 — 计划任务持久化 检测与可疑可执行文件（PowerShell、cmd、mshta）或可疑路径（AppData、Temp、Public）结合使用的 `schtasks.exe /create` —— 这常见于恶意软件持久化机制。 ### 🟠 T1110 — 暴力破解 聚合 Windows Event ID 4625（登录失败）和 4771（Kerberos 预认证失败）—— 当单个源 IP 在 5 分钟内产生 20 次以上失败时触发警报。 ### 🟡 T1021 — 横向移动 监控内部主机之间经过 NTLM 认证的远程交互式（RDP）和网络登录 —— 这对于检测 Pass-the-Hash 和 Pass-the-Ticket 攻击尤为有价值。 ### 🟡 T1071.004 — DNS 隧道 使用正则表达式识别类 DGA 子域名（高熵、30 个字符以上），这些子域名表明存在通过 DNS 进行的 C2 通信或数据渗出。 ## 🗺️ MITRE ATT&CK Navigator 覆盖范围 ``` Initial Access │ Execution │ Persistence │ Privilege Esc ──────────────────┼────────────────┼────────────────┼────────────── │ T1059.001 ✅ │ T1053.005 ✅ │ Credential Access │ Defense Evasion│ Lateral Move │ C2 ──────────────────┼────────────────┼────────────────┼────────────── T1003.001 ✅ │ │ T1021 ✅ │ T1071.004 ✅ T1110 ✅ │ │ │ ``` ## 📁 项目结构 ``` MITRE-ATTandCK-Detection-Rules/ │ ├── detection_rules.yml # All SIGMA rules ├── rules/ # Individual rule files │ ├── T1059_powershell.yml │ ├── T1003_lsass_dump.yml │ ├── T1053_scheduled_task.yml │ ├── T1110_brute_force.yml │ ├── T1021_lateral_movement.yml │ └── T1071_dns_tunneling.yml ├── tests/ # Test cases and sample logs └── README.md ``` ## 🔮 路线图 - [ ] 扩展至 20+ 条 SIGMA 规则（完整 ATT&CK 覆盖） - [ ] 添加适用于 Microsoft Sentinel 的 KQL 版本 - [ ] 添加 Chronicle YARA-L 版本 - [ ] 构建 ATT&CK Navigator layer 文件 - [ ] 使用示例日志数据添加单元测试 ## 🤝 贡献 检测规则随着社区的投入而改进。如果您有以下内容： - 来自生产环境部署的误报反馈 - 针对现有技术的额外检测想法 - 新技术覆盖建议 请提交 Issue 或发送 Pull Request！ ## 👤 作者 **Shubham Singh** 网络安全硕士 — 南安普顿大学 🇬🇧 信息安全分析师 | 检测工程 | Chronicle SIEM [](https://www.linkedin.com/in/shubham-singh99/) [](https://github.com/shubham8174)\

标签：AMSI绕过, Cloudflare, DNS 隧道, EDR, Elasticsearch, Google Chronicle, IPv6, KQL, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, PE 加载器, PoC, PowerShell, SIGMA 规则, Splunk SPL, YARA, 云资产可视化, 企业安全, 威胁检测, 安全运营中心, 数字化转型, 暴力破解, 横向移动, 编程规范, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 隐私保护