gloambit/detection-rules
GitHub: gloambit/detection-rules
一个基于公开情报的 Sigma 与 YARA 规则集合,帮助检测工程师将 ATT&CK 技术映射到可落地的检测逻辑。
Stars: 0 | Forks: 0
# detection-rules
Sigma 和 YARA 规则,我在学习检测工程学时编写。我在安全运营中心(SOC)工作,正在从零开始构建自己的检测逻辑。
规则基于 MITRE ATT&CK 文档和公开威胁情报。不涉及任何专有数据、案例数据或雇主信息。
## 覆盖范围
| 技术 | ID | 规则 | 类型 |
|------|-----|------|------|
| PowerShell 编码命令 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | [sigma/windows/execution/proc_creation_ps_encoded_command.yml](sigma/windows/execution/proc_creation_ps_encoded_command.yml) | Sigma |
## 结构
```
sigma/
windows/
execution/
credential_access/
persistence/
linux/
yara/
tools/
malware/
documents/
```
## 工具
```
sigma check
sigma convert -t splunk -p splunk_windows
yara /path/to/file
```
标签:ATT&CK映射, Cloudflare, DNS信息、DNS暴力破解, IPv6, MITRE ATT&CK, OpenCanary, PowerShell, Sigma规则, XML 请求, YARA规则, 威胁情报, 安全开发, 安全运营, 开发者工具, 扫描框架, 日志查询, 检测逻辑, 目标导入, 端点检测, 编码命令, 规则开发, 规则映射, 速率限制处理