jawsec/sigma-detection-rules

# sigma-detection-rules 使用 Sigma 编写的与 SIEM 无关的检测规则。包含覆盖 8 种 MITRE ATT&CK 战术的 14 条规则，按攻击阶段组织，并包含一个在其他公共规则包中找不到的专属 Crypto/Web3 威胁类别。 专为家庭用户、小型企业和精简的安全团队构建，无需专门的检测工程部门即可获得真正的检测覆盖。 ## 包含内容 **初始访问** — 暴力破解身份验证，来自异常外部源的 SSH 登录 **持久化** — 创建新 Windows 服务，在启动文件夹中释放文件，修改 cron 任务 **权限提升** — 可疑的 sudo/su 使用，将用户添加到本地管理员组 **防御规避** — 清除事件日志，篡改安全服务，伪造时间戳 **Crypto/Web3 威胁** — 连接矿池，在进程命令行中暴露 API 密钥和助记词，未经授权执行钱包和挖矿程序，钱包吸血鬼钓鱼 DNS 检测 每条规则均包含 MITRE ATT&CK 映射、误报文档、严重性分级理由，以及逐步的实验室测试方法，以便您在部署前进行验证。 ## 快速开始 这些是 Sigma 规则 (YAML)。它们可与任何支持 Sigma 转换的 SIEM 配合使用。 ``` git clone https://github.com/jawsec/sigma-detection-rules.git cd sigma-detection-rules # 安装 sigma-cli pip install sigma-cli # 转换为 Splunk sigma plugin install splunk sigma convert -t splunk rules/ # 转换为 Elastic sigma plugin install elasticsearch sigma convert -t elasticsearch rules/ # 转换为 Microsoft Sentinel sigma plugin install microsoft365defender sigma convert -t microsoft365defender rules/ ``` 有关完整的转换说明，包括 Wazuh、批量导出和 pipeline 配置，请参阅 [docs/SIEM_CONVERSION.md](docs/SIEM_CONVERSION.md)。 ## 仓库结构 ``` sigma-detection-rules/ ├── rules/ │ ├── initial-access/ │ │ ├── brute_force_authentication.yml │ │ └── ssh_login_unusual_source.yml │ ├── persistence/ │ │ ├── new_windows_service_created.yml │ │ ├── startup_folder_file_drop.yml │ │ └── cron_job_created_modified.yml │ ├── privilege-escalation/ │ │ ├── suspicious_sudo_su_usage.yml │ │ └── user_added_local_admins.yml │ ├── defense-evasion/ │ │ ├── event_log_cleared.yml │ │ ├── security_service_stopped.yml │ │ └── timestomping_detected.yml │ └── crypto-web3-threats/ │ ├── cryptomining_pool_connection.yml │ ├── api_key_seed_phrase_exposure.yml │ ├── unauthorized_wallet_miner_execution.yml │ └── crypto_drainer_dns_query.yml └── docs/ ├── THREAT_MODEL.md ├── MITRE_COVERAGE.md └── SIEM_CONVERSION.md ``` ## MITRE ATT&CK 覆盖范围 | 战术 | 规则数 | 关键技术 | |--------|-------|----------------| | Initial Access | 2 | T1110 (Brute Force), T1078 (Valid Accounts) | | Persistence | 3 | T1543.003 (Windows Service), T1547.001 (Startup), T1053.003 (Cron) | | Privilege Escalation | 2 | T1548.003 (Sudo/Su), T1098 (Account Manipulation) | | Defense Evasion | 3 | T1070.001 (Log Clearing), T1562.001 (Disable Tools), T1070.006 (Timestomp) | | Crypto/Web3 | 4 | T1496 (Cryptojacking), T1552.001 (Credential Exposure), T1566.002 (Phishing) | 包含差距分析的完整覆盖矩阵：[docs/MITRE_COVERAGE.md](docs/MITRE_COVERAGE.md) ## 为什么需要 Crypto/Web3 类别 大多数公共检测规则仓库根本不涵盖加密货币特定的威胁。此规则包包含针对加密货币威胁态势的四条规则，因为加密货币劫持、钱包吸血鬼和凭证盗窃是真实且不断增长的攻击媒介，而标准检测包忽略了它们。如果您持有加密货币、在 Web3 领域工作，或者管理用户与区块链服务交互的系统，这些规则填补了其他内容无法覆盖的空白。 阅读完整的推理说明：[docs/THREAT_MODEL.md](docs/THREAT_MODEL.md) ## 伴随项目 此规则包涵盖在 SIEM 日志中可见的威胁。对于 Sysmon 中未显示的威胁——区块链交易监控、文件完整性检查和网络威胁情报源——请参阅 [vigil](https://github.com/jawsec/vigil)。 它们结合在一起涵盖了完整的杀伤链：Sigma 负责捕获攻击，vigil 负责捕获影响。 ## 要求 - 用于 SIEM 转换的 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) - Windows 端点上的 Sysmon（推荐：以 [SwiftOnSecurity config](https://github.com/SwiftOnSecurity/sysmon-config) 作为起点） - 能够摄取相关日志源的 SIEM（Wazuh、Splunk、Elastic、Sentinel 等） ## 许可证 MIT — 请参阅 [LICENSE](LICENSE)。 由 [jawsec](https://github.com/jawsec) 构建 | Kino Security LLC

标签：AMSI绕过, Cloudflare, CSV导出, Elasticsearch, Microsoft Sentinel, MITRE ATT&CK, PB级数据处理, PE 加载器, PoC, Reconnaissance, Sigma规则, Wazuh, Web3安全, YAML, 信息收集自动化, 初始访问, 加密货币威胁, 协议分析, 威胁检测, 子域名变形, 安全信息和事件管理, 安全库, 安全测试, 安全运维, 挖矿检测, 攻击性安全, 暴力破解, 权限提升, 目标导入, 红队行动, 网络安全, 逆向工具, 钱包安全, 防御逃避, 隐私保护