iDea82/siem-detection-rules

GitHub: iDea82/siem-detection-rules

这是一套适用于 Splunk 和 Microsoft Sentinel 的生产级 SIEM 检测规则库,通过映射 MITRE ATT&CK 战术来识别凭证访问、执行、数据渗出及持久化等威胁行为。

Stars: 0 | Forks: 0

# SIEM 检测规则库 一套适用于 **Splunk Enterprise Security** 和 **Microsoft Sentinel** 的生产就绪检测规则集合,按 MITRE ATT&CK 战术组织,并映射到特定的对手技术。 每条规则均包含完整的文档、响应指南、已知误报以及严重性升级逻辑——旨在直接部署到 SOC 环境中。 ## 覆盖范围映射 | 战术 | 技术 | 规则 | SPL | KQL | |--------|-----------|------|-----|-----| | 凭证访问 (TA0006) | T1110 — Brute Force | Brute Force Login Detection | ✅ | ✅ | | 执行 (TA0002) | T1059.001 — PowerShell | Suspicious PowerShell Execution | ✅ | ✅ | | 数据渗出 (TA0010) | T1048 / T1041 — Exfiltration | Large Outbound Data Transfer | ✅ | ✅ | | 持久化 (TA0003) | T1053.005 — Scheduled Task | Suspicious Scheduled Task Creation | ✅ | ✅ | ## 仓库结构 siem-detection-rules/ │ ├── credential-access/ │ ├── brute-force-detection.spl │ └── brute-force-detection.kql │ ├── execution/ │ ├── suspicious-powershell.spl │ └── suspicious-powershell.kql │ ├── exfiltration/ │ ├── large-data-transfer.spl │ └── large-data-transfer.kql │ └── persistence/ ├── new-scheduled-task.spl └── new-scheduled-task.kql ## 规则剖析 本库中的每条规则均遵循相同的结构: **Header** — MITRE ATT&CK 映射、平台、严重性、描述、已知误报以及响应指南。 **Detection Logic** — 识别特定对手行为的查询,具有可调阈值。 **Enrichment** — 严重性评分、MITRE 标记以及附加到每个结果的调查优先级字段。 **Output** — 干净的分析师就绪表格,包含开始调查所需的所有字段。 ## 如何部署 ### Splunk Enterprise Security 1. 导航至 **Search & Reporting** 2. 将 `.spl` 规则内容粘贴到搜索栏中 3. 根据您的环境验证结果 4. 根据基线调整阈值 5. 另存为 **Correlation Search** 并配置适当的告警操作 ### Microsoft Sentinel 1. 导航至 **Analytics → Create → Scheduled query rule** 2. 将 `.kql` 规则内容粘贴到规则查询字段中 3. 配置规则频率和回溯周期 4. 设置告警严重性以匹配规则文档 5. 映射到规则 Header 中注明的 MITRE ATT&CK 技术 ## 调优指南 检测规则并非一劳永逸。本库中的每条规则都应根据您的特定环境进行调整: - **首先不设阈值运行** — 在应用过滤器之前了解您的基线 - **将已知良性行为加入白名单** — 软件部署工具、备份作业、管理脚本 - **跟踪误报率** — 产生超过 5% 误报的规则需要重新调优 - **每季度审查** — 对手技术在演变,检测逻辑必须随之演进 ## MITRE ATT&CK 框架 所有规则均映射到 [MITRE ATT&CK Enterprise Matrix](https://attack.mitre.org/)。每条规则的 Header 均包含具体的战术 ID、技术 ID 以及适用的子技术 ID。 ## 作者 Adesina Tijani — 安全运营分析师 Detection Engineering · Splunk ES · Microsoft Sentinel [linkedin.com/in/adesina-tijani-6372693b5](https://linkedin.com/in/adesina-tijani-6372693b5) [github.com/iDea82](https://github.com/iDea82)
标签:AMSI绕过, Cloudflare, IPv6, KQL, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, PoC, PowerShell, SPL, 威胁检测, 安全响应, 安全运营, 执行, 扫描框架, 数据渗出, 暴力破解, 检测规则, 生产环境, 红队行动, 网络安全, 网络资产发现, 计划任务, 误报处理, 隐私保护