thanhtoan1211/detection-rules-library
GitHub: thanhtoan1211/detection-rules-library
Stars: 0 | Forks: 0
# 🛡️ 检测规则库
[](https://attack.mitre.org/)
[](https://wazuh.com/)
[](https://github.com/SigmaHQ/sigma)
[](LICENSE)
## 📁 仓库结构
```
detection-rules-library/
├── wazuh/
│ ├── credential_access/ # T1003, T1110
│ ├── execution/ # T1059
│ ├── lateral_movement/ # T1021
│ ├── command_and_control/ # T1071, T1105
│ ├── defense_evasion/ # T1562, T1055
│ └── impact/ # T1486
├── sigma/
│ ├── windows/ # Windows-specific Sigma rules
│ └── linux/ # Linux-specific Sigma rules
└── docs/
└── MITRE_MAPPING.md # Full ATT&CK technique mapping
```
## 🗺️ ATT&CK 覆盖范围
| 战术 | 技术 | ID | 规则格式 | 严重性 |
|---------------------|-----------|--------|-----------------|----------|
| Credential Access | Brute Force | T1110 | Wazuh + Sigma | 🔴 High |
| Credential Access | OS Credential Dumping | T1003 | Wazuh + Sigma | 🔴 Critical |
| Execution | Command & Scripting Interpreter | T1059 | Wazuh + Sigma | 🟠 High |
| Lateral Movement | Remote Services | T1021 | Wazuh | 🟠 High |
| C2 | Application Layer Protocol | T1071 | Wazuh + Sigma | 🟠 High |
| C2 | Ingress Tool Transfer | T1105 | Sigma | 🟠 Medium |
| Defense Evasion | Impair Defenses | T1562 | Wazuh + Sigma | 🔴 High |
| Defense Evasion | Process Injection | T1055 | Sigma | 🔴 High |
| Impact | Data Encrypted for Impact | T1486 | Wazuh + Sigma | 🔴 Critical |
## 🚀 快速开始
### Wazuh
1. 将规则文件复制到你的 Wazuh manager:
```
cp wazuh/credential_access/T1110_brute_force.xml /var/ossec/etc/rules/local_rules.xml
```
2. 重启 Wazuh manager:
```
systemctl restart wazuh-manager
```
3. 验证规则是否已加载:
```
/var/ossec/bin/ossec-logtest
```
### Sigma
使用 `sigmac` 或 `pySigma` 转换为目标 SIEM 格式:
```
# 转换为 Splunk SPL
sigma convert -t splunk sigma/windows/T1003_lsass_dump.yml
# 转换为 Elastic ESQL
sigma convert -t elasticsearch sigma/windows/T1055_process_injection.yml
# 转换为 Wazuh
sigma convert -t wazuh sigma/windows/T1562_defense_evasion.yml
```
## 📋 规则质量标准
本库中的每条规则均遵循以下标准:
- ✅ 映射到特定的 MITRE ATT&CK 技术
- ✅ 已通过真实攻击模拟测试 (Atomic Red Team / Caldera)
- ✅ 记录了误报场景
- ✅ 已优化调整以减少告警疲劳
- ✅ 包含严重性级别和响应指南
## 🧪 测试规则
规则验证使用:
- **[Atomic Red Team](https://github.com/redcanaryco/atomic-red-team)** — 自动化攻击模拟
- **[Caldera](https://github.com/mitre/caldera)** — 对手模拟
- **紫队演练** — 实验室环境中的手动验证
## 📖 文档
- [MITRE ATT&CK 映射](docs/MITRE_MAPPING.md)
- [贡献指南](CONTRIBUTING.md)
- [误报处理](docs/FALSE_POSITIVES.md)
## 👤 作者
**Bui Thanh Toan** — 安全工程师
拥有企业环境下 SIEM 运维、检测工程和威胁搜寻经验的安全工程师。
- 📧 btoan123123@gmail.com
- 🌐 [buithanhtoan.vercel.app](https://buithanhtoan.vercel.app)
## ⚠️ 免责声明
这些规则仅用于**防御目的**。在部署之前,请务必在非生产环境中进行测试。请根据您的具体环境调整阈值和条件,以避免误报。
## 📄 许可证
MIT License — 可免费使用、修改和分发,但需注明出处。
标签:Cloudflare, IP 地址批量处理, MITRE ATT&CK, PE 加载器, PoC, Wazuh, 凭据窃取, 勒索软件, 威胁情报, 开发者工具, 暴力破解, 横向移动, 私有化部署, 编程规范, 网络信息收集, 网络安全, 防御规避, 隐私保护