manishrawat21/Detection-Rules

# APT29 检测工程 基于对 MITRE ATT&CK 评估 APT29 数据集中 196,071 个 Sysmon 事件的分析，开发的生产级 Sigma 检测规则。 ## 概述 本代码库包含针对在 APT29 模拟中观察到的对手行为的验证检测规则。每条规则都经过真实攻击数据的测试，并转换为 Splunk SPL，且对误报情况进行了验证。 **分析发布于：** [Detection Desk](https://manishrawat21.substack.com) ## 检测覆盖范围 | MITRE 技术 | 规则名称 | 严重性 | 状态 | |----------------|-----------|----------|--------| | T1003.001 | [具有完全权限的 LSASS 进程访问](https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Lsass_Process/Lsass_process_detection_rule.yaml) | 高 | 已测试 | | T1059.001, T1027 | [可疑的 PowerShell 执行模式](https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Powershell_Commands/Detection_Rule.yaml) | 高 | 已测试 | ## 规则 ### 凭证访问 **[具有完全权限的 LSASS 进程访问](rules/credential-access/lsass-process-access-full-permissions.yml)** - **检测：** PowerShell 或 cmd.exe 以 GrantedAccess 0x1fffff 访问 lsass.exe - **MITRE：** T1003.001（凭证转储） - **验证依据：** APT29 在 23:05:16 进行的凭证转储，进程 ID 3852 - **误报：** 低（安全工具，防病毒软件） **Splunk 查询：** [查看 SPL](https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Lsass_Process/Validated_SPL_Query.md) ### 执行 **[可疑的 PowerShell 执行模式](https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Powershell_Commands/Detection_Rule.yaml)** - **检测：** 带有编码的 PowerShell，由 Office 启动且带有规避或网络活动的 PowerShell - **MITRE：** T1059.001 (PowerShell)，T1027（混淆），T1566.001（钓鱼） - **验证依据：** APT29 数据集 EventID 1 PowerShell 执行 - **误报：** 中（合法自动化，软件部署） **Splunk 查询：** [查看 SPL](https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Powershell_Commands/suspicious-powershell-execution.spl) ## 使用方法 ### 转换为 Splunk ``` sigma convert -t splunk -p sysmon https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Powershell_Commands/Detection_Rule.yaml ``` ### 转换为 Elastic ``` sigma convert -t elasticsearch -p sysmon https://github.com/Manishrawat21/SOC_Dectection_Rules/blob/main/Suspicious_Powershell_Commands/Detection_Rule.yaml ``` ### 在您的环境中测试 1. 部署到 SIEM 测试环境 2. 监控 7 天 3. 记录误报 4. 根据需要添加排除项 5. 提升至生产环境 ## 验证方法 每条规则均使用以下内容进行测试： - MITRE ATT&CK 评估 APT29 数据集（196,071 个事件） - 带有 Sysmon 日志的 Splunk 免费版 - ProcessID 和 ProcessGuid 关联 - 网络流量验证 - 父子进程树分析 ## 关于此项目 我分析了完整的 APT29 攻击模拟，以了解高级持续性威胁在真实环境中的运作方式。目标是编写能够捕获真实对手行为而非理论攻击的检测规则。 **分析系列：** - [第 1 部分：初始访问与隐写术](https://manishrawat21.substack.com/p/hunting-apt29-in-196071-logs-what) - [第 2 部分：凭证转储与收集](https://manishrawat21.substack.com/p/hunting-apt29-part-2-i-searched-one) - [第 3 部分：完整执行链](https://manishrawat21.substack.com/p/hunting-apt29-part-3-i-traced-the) - [第 4 部分：通过 PsExec 进行的横向移动](https://manishrawat21.substack.com/p/i-found-hardcoded-credentials-in) ## 作者 **Manish Rawat** - LinkedIn: [linkedin.com/in/rawat-manish-mr2000](https://www.linkedin.com/in/manishrawat-soc/) - Substack: [Detection Desk](https://manishrawat21.substack.com) - 电子邮件: rawatmanish21@outlook.com 检测工程师 | 威胁狩猎者 | CompTIA Security+ & CEH 认证 ## 许可证 MIT 许可证 - 可自由使用，请注明出处 # SOC_检测规则 编写了一些检测规则来捕获某些异常活动。这些是在我的 APT29 检测系列之后编写的，希望它们对您有用，就像它们对我一样。

标签：APT29, APT攻击, Cloudflare, DNS 反向解析, IPv6, LSASS, MITRE ATT&CK, MITRE评估, OpenCanary, PowerShell, Reconnaissance, Sigma规则, Splunk SPL, Sysmon, 凭据转储, 凭证获取, 安全运营, 扫描框架, 混淆, 目标导入, 网络攻防, 规则验证, 误报测试