TiltedLunar123/SIEMForge

GitHub: TiltedLunar123/SIEMForge

便携式 SIEM 检测工具包，整合 Sigma 规则、Sysmon 配置和 Wazuh 规则，零依赖一键导出验证并映射 MITRE ATT&CK。

Stars: 1 | Forks: 0

# 🛡️ SIEMForge — SIEM 检测内容工具包 ![Python](https://img.shields.io/badge/Python-3.8%2B-blue?logo=python) ![Sigma](https://img.shields.io/badge/Sigma-Rules-orange?logo=data:image/svg+xml;base64,) ![Wazuh](https://img.shields.io/badge/Wazuh-Custom%20Rules-3C91E6) ![Sysmon](https://img.shields.io/badge/Sysmon-Config-red) ![MITRE](https://img.shields.io/badge/MITRE%20ATT%26CK-Mapped-yellow) ![License](https://img.shields.io/badge/License-MIT-green) 一个单文件 Python 工具包，包含 **Sigma 检测规则**、经过调优的 **Sysmon 配置**以及 **Wazuh 自定义规则** —— 全部映射到 MITRE ATT&CK。从一个便携脚本中导出、验证并测试检测内容。 ## 🎯 检测覆盖范围 | # | 规则 | 技术 | 战术 | 严重程度 | |---|------|-----------|--------|----------| | 1 | SSH 暴力破解突发 | T1110.001 | Credential Access | High | | 2 | 可疑 PowerShell 执行 | T1059.001 | Execution | High | | 3 | 本地管理员账户创建 | T1136.001 / T1098 | Persistence | Critical | | 4 | 进程注入 | T1055.003 | Defense Evasion | High | | 5 | LSASS 凭证转储 | T1003.001 | Credential Access | Critical | | 6 | Windows Defender 篡改 | T1562.001 | Defense Evasion | Critical | | 7 | PsExec 横向移动 | T1021.002 | Lateral Movement | High | | 8 | 注册表 Run 键持久化 | T1547.001 | Persistence | Medium | ## 🧩 包含内容 ``` siemforge.py (single file contains everything) │ ├── 8 Sigma Detection Rules (YAML) ├── Sysmon Configuration (XML, schema 4.90) ├── 11 Wazuh Custom Rules (XML, IDs 100100–100170) ├── Wazuh Agent Config Snippet ├── MITRE ATT&CK Mapping ├── Rule Validator ├── Test Command Generator └── Full Export Engine ``` ## ⚡ 快速开始 ``` # 克隆 git clone https://github.com/TiltedLunar123/SIEMForge.git cd SIEMForge # 查看统计和规则清单 python siemforge.py # 导出所有内容 python siemforge.py --export-all # 验证所有规则 python siemforge.py --validate # 显示 MITRE ATT&CK 覆盖范围 python siemforge.py --mitre # 生成测试命令 python siemforge.py --tests ``` **零依赖** —— 仅需 Python 3.8+ 标准库。 ## 📋 CLI 选项 | 标志 | 描述 | |------|-------------| | `--export-all` | 将所有内容（Sigma + Sysmon + Wazuh）导出到 `./siemforge_export/` | | `--sigma` | 仅导出 Sigma 规则 | | `--sysmon` | 仅导出 Sysmon 配置 | | `--wazuh` | 导出 Wazuh 规则 + agent 配置 | | `--validate` | 验证所有 Sigma 规则的必填字段 | | `--mitre` | 显示 MITRE ATT&CK 技术覆盖范围 | | `--tests` | 显示触发每个检测的安全命令 | | `--stats` | 项目统计信息 | | `--list` | 列出所有规则及其元数据 | ## 📁 导出结构运行 `--export-all` 会创建： ``` siemforge_export/ ├── manifest.json ├── sigma_rules/ │ ├── ssh_bruteforce_burst.yml │ ├── powershell_suspicious_execution.yml │ ├── local_admin_creation.yml │ ├── process_injection_sysmon.yml │ ├── lsass_credential_dump.yml │ ├── defender_tampering.yml │ ├── psexec_lateral_movement.yml │ └── registry_run_key_persistence.yml ├── sysmon/ │ └── sysmon_config.xml └── wazuh/ ├── local_rules.xml └── agent_ossec_snippet.xml ``` ## 🔧 部署指南 ### Sysmon (Windows Endpoint) ``` # 从 Microsoft Sysinternals 下载 Sysmon # 使用导出的配置进行安装 sysmon64.exe -accepteula -i siemforge_export/sysmon/sysmon_config.xml # 更新现有的 Sysmon 配置 sysmon64.exe -c siemforge_export/sysmon/sysmon_config.xml ``` ### Wazuh Manager ``` # 复制自定义规则 sudo cp siemforge_export/wazuh/local_rules.xml /var/ossec/etc/rules/local_rules.xml # 验证配置 sudo /var/ossec/bin/wazuh-analysisd -t # 重启 manager sudo systemctl restart wazuh-manager ``` ### Wazuh Agent (Windows) 将 `agent_ossec_snippet.xml` 的内容添加到： ``` C:\Program Files (x86)\ossec-agent\ossec.conf ``` 然后重启 Wazuh agent 服务。 ## 🗺️ MITRE ATT&CK 覆盖范围 ``` Credential Access ────────────────────────────────────────────────── T1003.001 OS Credential Dumping: LSASS T1110.001 Brute Force: Password Guessing Defense Evasion ────────────────────────────────────────────────── T1027.010 Command Obfuscation T1055.003 Process Injection: Thread Injection T1070.001 Indicator Removal: Clear Logs T1562.001 Impair Defenses: Disable Tools Execution ────────────────────────────────────────────────── T1059.001 PowerShell T1569.002 Service Execution Lateral Movement ────────────────────────────────────────────────── T1021.002 SMB/Windows Admin Shares T1570 Lateral Tool Transfer Persistence ────────────────────────────────────────────────── T1098 Account Manipulation T1136.001 Create Account: Local Account T1547.001 Boot/Logon Autostart: Registry ``` ## 📸 示例输出 ``` ══════════════════════════════════════════════════════════════════════ [ PROJECT STATISTICS ] ══════════════════════════════════════════════════════════════════════ Sigma Detection Rules : 8 Wazuh Custom Rules : 11 Sysmon Event Types Covered : 9 MITRE Techniques : 13 MITRE Tactics : 5 Severity Breakdown: critical ███ 3 high ████ 4 medium █ 1 ══════════════════════════════════════════════════════════════════════ [ VALIDATING SIGMA RULES ] ══════════════════════════════════════════════════════════════════════ [✓] ssh_bruteforce_burst.yml [✓] powershell_suspicious_execution.yml [✓] local_admin_creation.yml [✓] process_injection_sysmon.yml [✓] lsass_credential_dump.yml [✓] defender_tampering.yml [✓] psexec_lateral_movement.yml [✓] registry_run_key_persistence.yml Results: 8 passed 0 failed 0 warnings / 8 total ``` ## 🏠 家用实验环境搭建此项目在家用实验环境中构建并测试： ``` ┌──────────────────────────────────────────────────┐ │ Home Lab Network │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Wazuh │ │ Windows │ │ Kali │ │ │ │ Manager │◄───│ 10/11 │ │ Linux │ │ │ │ (Ubuntu) │ │ + Sysmon │ │ (Attack) │ │ │ └──────────┘ │ + Agent │ └──────────┘ │ │ ▲ └──────────┘ │ │ │ │ ▲ │ │ │ └───────────────┴──────────────┘ │ │ Alerts │ └──────────────────────────────────────────────────┘ ``` ## ⚠️ 免责声明本项目仅用于**授权的安全测试和教育目的**。检测规则和测试命令仅应在您拥有或明确获得测试许可的环境中使用。作者不对滥用行为负责。 ## 📜 许可证 MIT 许可证 —— 详情请参阅 [LICENSE](LICENSE)。

Detection engineering, made portable. 🛡️

标签：AMSI绕过, Cloudflare, EDR, MITRE ATT&CK, OpenCanary, Sigma规则, Sysmon配置, Wazuh, 单文件工具, 威胁检测, 安全信息与事件管理, 安全脚本, 安全运营, 扫描框架, 搜索引擎爬取, 横向移动, 目标导入, 私有化部署, 编程规范, 网络安全, 脆弱性评估, 规则映射, 逆向工具, 防御规避, 隐私保护