timescale/sigma-rules

# Sigma Rules 技能 一个用于编写 [Sigma](https://github.com/SigmaHQ/sigma) detection rules、correlation rules、filter rules 和 processing pipelines 的 [Agent Skill](https://agentskill.sh/)。 ## 此技能的功能 此技能向 AI agents 传授完整的 [Sigma v2.1.0 specification](https://github.com/SigmaHQ/sigma-specification)，使其能够： - 根据自然语言描述编写正确的 detection rules - 创建 correlation rules（event_count、value_count、temporal 等 5 种以上类型） - 编写用于集中调优的 filter rules - 构建 processing pipelines 以进行 field mapping（ECS、Splunk CIM 等） - 使用正确的 field modifiers、condition expressions 和多文档 YAML - 根据规范清单验证规则 ## 安装 ``` npx skills add timescale/sigma-rules -g -y ``` 或者为特定 agent 安装： ``` npx skills add timescale/sigma-rules -g -a cursor -y npx skills add timescale/sigma-rules -g -a claude-code -y ``` ## 结构 ``` sigma-rules/ ├── SKILL.md # Main skill — templates, examples, checklist └── references/ ├── detection-rules.md # Detection rule format deep dive ├── correlation-rules.md # All 8 correlation types with examples ├── filter-rules.md # Filter rule format and usage ├── pipelines.md # Pipeline transforms and conditions ├── modifiers.md # All 30 field modifiers └── condition-syntax.md # Condition expression grammar ``` 主文件 `SKILL.md` 涵盖了基本的编写工作流程，包含模板和详细示例。参考文件提供更深入的细节，并按需加载。 ## 覆盖范围 - Sigma Specification v2.1.0（向后兼容 v2.0.0） - 30 种 field modifiers 及其兼容性规则 - 8 种 correlation types（event_count、value_count、temporal、temporal_ordered、value_sum、value_avg、value_percentile、value_median） - 26 种 pipeline transformation types - 多文档 YAML（global、reset、repeat actions） - Condition expression grammar（not > and > or、quantifiers、wildcards） ## 参考 - [Sigma Specification](https://github.com/SigmaHQ/sigma-specification) - [SigmaHQ Rule Repository](https://github.com/SigmaHQ/sigma) - [pySigma](https://github.com/SigmaHQ/pySigma) ## 许可证 MIT

标签：Agent Skill, AI代理, AMSI绕过, Claude, Cursor, CVE检测, DLL 劫持, ECS, FTP漏洞扫描, Sigma规则, Splunk CIM, Terraform, Timescale, URL发现, YAML, 处理管道, 大语言模型, 威胁检测, 安全工程, 安全库, 安全检测, 安全编排, 目标导入, 相关规则, 网络安全, 规则编写, 隐私保护