mazlumbaydar/TI-DE

## 为什么选择 TI-DE？ 大多数检测工程库都是**静态库**——你拉取的是别人上周（或去年）编写的规则。而 TI-DE 是一个**动态流水线**。 | 其他人提供的 | TI-DE 提供的 | |----------------------|----------------------| | 规则编写一次，偶尔更新 | 每个工作日早晨提供新规则 | | 单一平台（Sigma、Splunk 或 Elastic） | **同时支持 9 个平台** | | 仅限检测规则 | 规则 + IoC 列表 + 红队模拟指南 + PDF 报告 | | 手动编写规则 | 每日威胁到规则的流水线——同一天早晨覆盖 9 个平台 | | 需要搜索 GitHub 才能找到相关规则 | 规则按 CVE/威胁/日期组织——可即时检索 | | 没有验证指导 | 每条规则都配备了 Atomic Red Team 验证场景 | ## 团队 四个专业角色，一个每日使命： | 角色 | 职责 | |------|-------------| | 🔍 **CTI 分析师** | 扫描 Twitter/X、LinkedIn、Reddit、GitHub PoC、CISA KEV、NVD 和供应商博客。输出：威胁报告 + IoC CSV | | ⚙️ **检测工程师** | 在编写前搜索现有的规则库（SigmaHQ、SOC Prime、GitHub）。如果没有找到现有规则，则为所有 9 个平台生成原生规则 | | 🔴 **红队模拟师** | 制作基于 Atomic Red Team 的模拟指南——针对检测到的威胁提供安全的、仅限实验室环境的验证场景 | | 🔄 **规则转换器** | 根据需求在 9 个受支持的平台之间转换任意规则 | ## 平台覆盖范围 | 平台 | 格式 | 部署目标 | |----------|--------|-------------------| | **Sigma** | `.yml` | 通用型——通过 sigmac/pySigma 转换为任意 SIEM | | **YARA** | `.yar` | 文件与内存扫描——YARA v4+，针对性能进行了优化 | | **KQL** | `.kql` | Microsoft Defender XDR · Microsoft Sentinel | | **XQL** | `.xql` | Palo Alto Cortex XDR | | **Splunk SPL** | `.spl` | Splunk SIEM / SOAR——包含关联搜索 | | **QRadar AQL** | `.aql` | IBM QRadar SIEM | | **Carbon Black** | `.txt` | VMware Carbon Black EDR 监视列表查询 | | **SentinelOne** | `.txt` | SentinelOne Deep Visibility + STAR 自定义检测策略 | | **Kaspersky EDR** | `.txt` | Kaspersky EDR Expert / KATA TAA 规则 | ## 流水线——工作原理 ``` Every Weekday — 10:00 AM Turkey Time (UTC+3 / 07:00 UTC) ───────────────────────────────────────────────────────────────────── STEP 1 — CTI Analyst │ Monitors: Twitter/X (#CVE #infosec) · LinkedIn · Reddit · GitHub PoCs │ Monitors: BleepingComputer · THN · SecurityWeek · Dark Reading │ Monitors: CISA KEV (last 48h) · NVD CVSS 7.0+ (last 24h) │ Monitors: Mandiant · CrowdStrike · Unit42 · Cisco Talos advisories │ └──► CVE-XXXX-YYYYY_cti-report.md CVE-XXXX-YYYYY_ioc-list.csv STEP 2 — Detection Engineer │ Searches: SigmaHQ · SOC Prime · GitHub (existing rules first) │ Generates native rules for 9 platforms if no existing rule found │ └──► CVE-XXXX-YYYYY_sigma-rules.yml CVE-XXXX-YYYYY_yara-rules.yar CVE-XXXX-YYYYY_kql-rules.kql CVE-XXXX-YYYYY_xql-rules.xql CVE-XXXX-YYYYY_splunk-spl.spl CVE-XXXX-YYYYY_qradar-aql.aql CVE-XXXX-YYYYY_carbonblack-rules.txt CVE-XXXX-YYYYY_sentinelone-rules.txt CVE-XXXX-YYYYY_kaspersky-edr-rules.txt STEP 3 — Red Team Simulator │ Produces safe, lab-only Atomic Red Team validation scenarios │ └──► CVE-XXXX-YYYYY_red-team-simulation.md STEP 4 — Report & Delivery │ Generates PDF report (all rules + IoCs + attack analysis) │ git commit + push → this repository └──► Gmail daily briefing draft ``` ## 仓库结构 ``` TI-DE/ ├── daily-reports/ │ └── YYYY-MM-DD/ │ └── _/ ← one folder per investigated threat │ ├── CVE-XXXX-YYYYY_cti-report.md │ ├── CVE-XXXX-YYYYY_ioc-list.csv │ ├── CVE-XXXX-YYYYY_sigma-rules.yml │ ├── CVE-XXXX-YYYYY_yara-rules.yar │ ├── CVE-XXXX-YYYYY_kql-rules.kql │ ├── CVE-XXXX-YYYYY_xql-rules.xql │ ├── CVE-XXXX-YYYYY_splunk-spl.spl │ ├── CVE-XXXX-YYYYY_qradar-aql.aql │ ├── CVE-XXXX-YYYYY_carbonblack-rules.txt │ ├── CVE-XXXX-YYYYY_sentinelone-rules.txt │ ├── CVE-XXXX-YYYYY_kaspersky-edr-rules.txt │ ├── CVE-XXXX-YYYYY_red-team-simulation.md │ └── report.pdf ← full report with all rules │ ├── rules/ ← cumulative per-platform library │ ├── sigma/ (all Sigma rules, named by CVE) │ ├── yara/ (all YARA rules) │ ├── kql/ (all KQL rules) │ ├── xql/ (all XQL rules) │ ├── splunk/ (all SPL rules) │ ├── qradar/ (all AQL rules) │ ├── carbonblack/ (all CB rules) │ ├── sentinelone/ (all S1 rules) │ └── kaspersky-edr/ (all KEDR rules) │ ├── personas/ ← team role definitions │ ├── cti-analyst.md │ ├── detection-engineer.md │ ├── red-team-simulator.md │ └── rule-converter.md │ └── assets/ ← branding assets ├── logo.svg (200×200) └── logo-small.svg (48×48) ``` ## 快速开始 ``` # Clone repo git clone https://github.com/mazlumbaydar/TI-DE.git cd TI-DE # 每天早上拉取最新日报 git pull # 浏览今日威胁 ls daily-reports/$(date +%Y-%m-%d)/ # 获取特定 CVE 的所有 Sigma 规则 cat daily-reports/2026-03-26/CVE-2026-33634_LiteLLM-PyPI-Supply-Chain-TeamPCP/CVE-2026-33634_sigma-rules.yml # 浏览累积 KQL 规则库 ls rules/kql/ # 下载今日 PDF 报告 (所有规则 + 威胁分析) ls daily-reports/$(date +%Y-%m-%d)/*/report.pdf ``` ## 检测优先级框架 | 优先级 | 标准 | 响应 | |----------|----------|----------| | 🔴 **严重** | CVSS 9.0+ 且（存在在野利用 或 CISA KEV 过去 48 小时内更新 或 勒索软件活跃） | 当天生成规则 | | 🟠 **高** | CVSS 7.0–8.9 且有 PoC 可用 或 广泛使用的企业产品受到影响 | 当天生成规则 | | 🟡 **中** | CVSS 7.0+ 但目前尚无漏洞利用/PoC | 排入下一个周期 | ## 情报来源 **社交与社区** `Twitter/X` — `#CVE` `#infosec` `#threatintel` · `LinkedIn` 安全研究员 · `Reddit` r/netsec r/cybersecurity · `GitHub` PoC 仓库（过去 24 小时） **新闻与研究** `BleepingComputer` · `The Hacker News` · `SecurityWeek` · `Dark Reading` · `Krebs on Security` `Mandiant` · `CrowdStrike` · `Palo Alto Unit42` · `Cisco Talos` · `Secureworks CTU` **官方权威来源** `CISA KEV` — 已知被利用的漏洞（过去 48 小时） · `NVD` CVSS 7.0+（过去 24 小时） `Microsoft MSRC` · `Cisco PSIRT` · `Fortinet PSIRT` · `Citrix Security` · `VMware/Broadcom` ## 路线图 - [ ] 每日报告的 MITRE ATT&CK Navigator 层级文件 - [ ] 威胁行为者配置页面（TTPs、目标、工具） - [ ] GitHub Actions CI——在 push 时验证 sigma 规则语法 - [ ] 每周摘要报告（本周排名前 5 的威胁） - [ ] 用于按 CVE/技术/平台查询规则的 API endpoint - [ ] 通过 pull request 提交的社区规则 ## 贡献 发现了被遗漏的威胁？或者对特定平台有更好的规则？ 1. 开启一个 [Issue](https://github.com/mazlumbaydar/TI-DE/issues)，并附上威胁详细信息和 CVE 2. 或者提交一个包含规则的 PR，需遵循命名约定：`CVE-XXXX-YYYYY_-rules.` 3. 规则必须包含 MITRE ATT&CK 技术映射

*每日更新 · 多平台支持 · 生产可用* [](https://github.com/mazlumbaydar/TI-DE/stargazers)    [](https://www.linkedin.com/sharing/share-offsite/?url=https%3A%2F%2Fgithub.com%2Fmazlumbaydar%2FTI-DE)

标签：AMSI绕过, Atomic Red Team, Cloudflare, CVE, IoC, MIT License, MITRE ATT&CK, Red Team, Sigma规则, TI-DE, XSS, YARA, 云资产可视化, 后端开发, 威胁情报, 威胁检测, 安全报告, 安全运营, 开发者工具, 扫描框架, 数字签名, 数据泄露检测, 检测规则, 每日更新, 漏洞情报, 目标导入, 网络安全, 网络调试, 网络资产发现, 自动化, 隐私保护