Ayan-blue-team/siem-detection-engine

# siem-detection-engine 一个集中化、版本可控的高保真检测规则库。使用 CI/CD 管道自动化部署与 MITRE ATT&CK® 对齐的内容，适用于 Splunk (SPL) 和 IBM QRadar (AQL)。 # 检测即代码 (DaC) 框架 本仓库作为 **检测工程** 的集中式枢纽。它托管了一系列专业级检测规则，用于识别企业环境中的高级对手行为 (TTPs)。 # 架构与工作流程 检测规则的生命周期遵循 **检测即代码** 原则： 1. 开发：规则以 YAML (Sigma) 或原生 SIEM 语言 (SPL/AQL) 编写。 2. 版本：每次变更均通过 GitHub 提交进行跟踪。 3. 验证：CI/CD 检查语法与逻辑错误。 2. **部署**：通过 REST API 自动推送至 Splunk/QRadar。 # 覆盖范围与映射 所有检测均映射至 **MITRE ATT&CK 框架**，以确保在整个攻击生命周期中获得全面可见性。 # Splunk (15 条规则) -- 日志来源：WinEventLog (Security, System)、Sysmon、网络流量。 -- 重点：权限提升、凭据访问、防御规避。 -- 语言：SPL (Search Processing Language)。 # IBM QRadar (10 条规则) -- 日志来源：Windows 认证、Linux/Unix、流量数据。 -- 重点：横向移动、命令与控制、数据外泄。 -- 语言：AQL (Ariel Query Language)。 🛠️ 仓库结构 ``` ├── .github/workflows/ │ └── deploy_rules.yml # GitHub Actions for API Sync ├── splunk/ │ ├── security/ # High-severity alerts │ └── audit/ # Compliance-related rules ├── qradar/ │ ├── aql_queries/ # Raw AQL logic │ └── rule_configs/ # JSON metadata for API └── scripts/ └── siem_api_sync.py # Python engine for SIEM integration ```

标签：AMSI绕过, AQL, Ariel Query Language, Cloudflare, FTP漏洞扫描, GitHub Actions, IBM QRadar, IP 地址批量处理, MITRE ATT&CK, Splunk SPL, Sysmon, WinEventLog, YAML, 企业安全, 凭证访问, 协议分析, 命令与控制, 威胁检测, 子域名变形, 安全可观测性, 安全库, 安全编排, 攻击路径覆盖, 数据外泄, 日志源, 权限提升, 检测即代码, 横向移动, 版本控制, 特权提升, 私有化部署, 编程规范, 网络安全审计, 网络流量, 网络资产管理, 自动化部署, 自动笔记, 逆向工具, 防御绕过, 防御规避, 高保真检测