tanya-priya/sigma-unified

# Sigma-Unified: 跨平台检测即代码流水线

检测工程 | SIEM | MITRE ATT&CK 映射 | 实验室虚拟化

         

## 🚀 概述 本项目通过标准化 Windows 和 Linux 的安全逻辑来演示检测工程生命周期。检测规则使用 Sigma 开发，并转换为适用于 Wazuh (SIEM) 的格式，同时映射到 MITRE ATT&CK。该仓库展示了如何将威胁情报转化为可操作的告警。 ## 🎯 项目目标 - **标准化检测：** 使用一致的基于 Sigma 的 schema 统一 Windows (Sysmon) 和 Linux (Auditd) 日志格式，以实现跨平台检测。 - **减少告警疲劳：** 优化 XML 规则逻辑，以确保生成具有 MITRE 技术映射的高保真告警。 - **流水线自动化：** 演示将检测从概念性的 Sigma 规则推向生产就绪的 SIEM 告警的工作流程。 - **验证：** 使用 `wazuh-logtest` 验证原始遥测数据是否能正确触发预期的安全事件。 ## 🧰 技术栈 - Sigma (检测规则) - Wazuh (SIEM / HIDS) - Docker (环境部署) - Sysmon & Windows 安全日志 - Linux Auth.log / Syslog ## 📂 项目结构 ``` sigma-unified ├── sigma-rules          # Platform-agnostic detection logic (.yml) ├── converted-queries    # Raw SIEM/Lucene queries generated from Sigma ├── wazuh-rules          # Production XML rules for Wazuh Manager ├── test-logs            # Sample logs used for 'wazuh-logtest' verification ├── screenshots          # Visual evidence of deployment and alerts ├── wazuh-docker-example # Minimal Docker setup (custom configs only) └── MITRE_MAPPING.md     # Detailed ATT&CK technique breakdown ``` ## 🔄 检测生命周期 本项目遵循实施新安全内容的行业标准工作流程： 1. **规则编写：** 以 Sigma YAML 格式定义检测逻辑 [`sigma-rules`](sigma-rules/)。 2. **转译：** 将 Sigma 逻辑转换为兼容 Wazuh 的 XML 查询。 3. **实施：** 将自定义规则部署到 Wazuh Manager 引擎中。 4. **接入与测试：** 导入原始日志 [`test-logs/`](test-logs/) 以验证规则触发情况。 5. **验证：** 审查生成的告警，确认其 MITRE ATT&CK 上下文及准确性。 ## ⚙️ 部署与实验室设置 ### 1. 前置条件 - Docker & Docker Compose - Wazuh 规则语法 (XML) 基础知识 ### 2. 环境集成 为了保持轻量化的占用空间，本仓库提供了将配置“接入”标准 Wazuh-Docker 部署所需的配置文件。 **步骤 1：克隆官方 Wazuh 环境** ``` git clone https://github.com/wazuh/wazuh-docker.git -b v4.14.4 cd wazuh-docker/single-node/ ``` **步骤 2：应用自定义配置** 将此仓库中的以下文件复制到官方 wazuh-docker/single-node/ 目录中： - [wazuh-docker-example/single-node-example/docker-compose.yml](wazuh-docker-example/single-node-example/docker-compose.yml) - [wazuh-docker-example/single-node-example/config-example/wazuh_cluster_example/wazuh_manager.conf](wazuh-docker-example/single-node-example/config-example/wazuh_cluster_example/wazuh_manager.conf) - [wazuh-docker-example/single-node-example/wazuh_rules/](wazuh-docker-example/single-node-example/wazuh_rules/) **步骤 3：部署堆栈** ``` docker-compose up -d ``` ### 3. 🔍 规则验证 在规则到达仪表板之前，使用以下流程确保每条规则都能正常工作： - 访问 Wazuh manager 容器。 - 运行 `/var/ossec/bin/wazuh-logtest`。 - 粘贴来自 [`test-logs/`](test-logs/) 目录的日志，以确认 Rule ID 匹配。 ## 🛠️ 检测覆盖范围 ### 🪟 Windows | 规则名称 | 来源 | 事件 ID | MITRE ID | |----------|--------|----------|----------| | 可疑的 PowerShell | Sysmon | 1 | T1059.001 | | 计划任务创建 | Security | 4698 | T1053.005 | ### 🐧 Linux | 规则名称 | 来源 | 匹配模式 | MITRE ID | |----------|--------|--------------|----------| | Sudo 权限滥用 | Auth.log | authentication failure | T1548.003 | | SSH 暴力破解 | SSHD | Failed password | T1110.001 | | 可疑下载 | Syslog | curl http / wget http | T1105 | ## 📊 MITRE ATT&CK 映射 所有规则的详细映射可在 [`MITRE_MAPPING.md`](MITRE_MAPPING.md) 中找到。 ## 📸 证据与截图 ### 检测输出示例  - 规则验证：在 `wazuh-logtest` 中成功触发  - 仪表板视图：Wazuh Dashboard 中的告警 所有展示规则执行、告警生成和仪表板可视化的截图均可在以下位置找到： - [`screenshots/`](screenshots/) 其中包括： - `wazuh-logtest` 规则验证  - Wazuh Dashboard 告警  - 针对 Windows 和 Linux 规则的检测证明  ### ⚠️ 注意 本项目使用官方 Wazuh Docker 设置中的默认凭据，用于本地实验室环境中的演示目的。 ## 👤 作者 - **Tanya Priya**  - **日期：** 2026 年 3 月

标签：ATT&CK框架, Auditd, Conpot, CSV导出, Docker, Elasticsearch, ELK技术栈, HIDS, Lucene查询, MITRE ATT&CK映射, NIDS, OpenCanary, PB级数据处理, PE 加载器, Sigma规则, Sysmon, URL发现, Wazuh, Windows安全, XML规则, 告警降噪, 威胁情报, 子域名变形, 安全告警, 安全检测, 安全规则转换, 安全运维, 安全运营, 安全防御评估, 实验虚拟化, 容器化, 开发者工具, 扫描框架, 数据包嗅探, 检测即代码, 目标导入, 端点安全, 网络安全, 自动化流水线, 补丁管理, 请求拦截, 跨平台检测, 隐私保护