Mohammd-Amjadi-pentest2/sigma-siem-rules
GitHub: Mohammd-Amjadi-pentest2/sigma-siem-rules
基于 Sigma 格式的 SIEM 检测规则集,支持转换为 Splunk 和 Elasticsearch 查询,覆盖多平台常见攻击场景。
Stars: 0 | Forks: 0
# 🚨 Sigma SIEM 检测规则
## 📋 包含的规则
| Rule | Platform | MITRE | Severity |
|---|---|---|---|
| 暴力破解 - 登录失败 | Windows | T1110 | 🔴 High |
| PowerShell 编码命令 | Windows | T1059.001 | 🔴 High |
| 审计日志被清除 | Windows | T1070.001 | 🔴 Critical |
| 新服务已安装 | Windows | T1543.003 | 🟡 Medium |
| SSH 暴力破解 | Linux | T1110.001 | 🔴 High |
| SQL 注入尝试 | Web | T1190 | 🟡 Medium |
## 🚀 用法
```
# 验证 rules
sigma check rules/windows_linux_web.yml
# 转换为 Splunk SPL
sigma convert -t splunk rules/windows_linux_web.yml
# 转换为 Elastic
sigma convert -t elasticsearch rules/windows_linux_web.yml
```
## 🔗 相关项目
- [detection-as-code-pipeline](https://github.com/Mohammd-Amjadi-pentest2/detection-as-code-pipeline) — CI/CD 流水线,自动验证这些规则
标签:AMSI绕过, CISA项目, Elasticsearch, IPv6, Linux 安全, OpenCanary, PB级数据处理, PoC, PowerShell, Python3.6, RFI远程文件包含, Sigma 规则, SQL 注入, Web 安全, Windows 安全, 域名分析, 威胁检测, 安全运维, 暴力破解, 红队行动, 网络安全, 隐私保护