V3nG4mxV1p3r/SOC-Threat-Hunting-Sigma-Rules

# 🛡️ SOC 威胁狩猎与 Sigma 规则库 ## 📌 概述 欢迎来到我的个人威胁狩猎 (Threat Hunting) 仓库。此工作区包含高级检测机制、**Sigma 规则**以及旨在检测复杂网络攻击（包括无文件恶意软件和防御规避技术）的 SIEM (Wazuh) 自定义配置。 这些规则不再单纯依赖于基于哈希（杀毒软件）的检测，而是建立在**行为分析（操作系统内部原理）**之上，并直接映射到 **MITRE ATT&CK® 框架**。 ## 🎯 当前仓库中的检测规则 | 规则名称 | 目标威胁 | MITRE ATT&CK | SIEM 集成 | | :--- | :--- | :--- | :--- | | `win_susp_encoded_powershell.yml` | 无文件恶意软件 / 混淆 PowerShell | T1059.001, T1027 | Wazuh, Splunk, Sentinel | *(更多自定义 XML 解码器和 Sysmon 配置将根据我积极的红队/紫队模拟演练在此处更新)。* ## 🧠 理念（为什么选择 Sigma？） 在现代 SOC 运营中，攻击者通过使用“靠地球生存”（LOLBins）技术绕过传统防御。通过基于 Windows Sysmon 遥测数据（Event ID 1, Event ID 11）编写与供应商无关的 **Sigma 规则**，我确保了威胁情报可以快速部署到任何企业 SIEM 环境中。 *由 VENGAM 创建并维护 - 架起进攻性安全 (Offensive Security) 与 SOC 运营之间的桥梁。*

标签：AMSI绕过, APT检测, Cloudflare, Conpot, DNS 反向解析, EDR, LOLBins, MITRE ATT&CK, OpenCanary, PowerShell攻击, Sigma规则, Sysmon, Wazuh, Wazuh配置, Windows安全, 威胁检测, 安全运营, 扫描框架, 无文件恶意软件, 混淆技术, 目标导入, 网络安全, 脆弱性评估, 隐私保护