roniibiju/e8_detection_lab
GitHub: roniibiju/e8_detection_lab
一个将 ASD Essential Eight 缓解策略映射为 Sigma 规则与仿真脚本的检测实验室项目,解决澳大利亚 SOC 场景下检测覆盖与合规评估问题。
Stars: 0 | Forks: 0
# Essential Eight 检测实验室
[](https://github.com/roniibiju/e8_detection_lab/actions/workflows/sigma-validate.yml)
[](rules/)
[](LICENSE)
Sigma 检测规则与对手模拟脚本,映射至 [ASD Essential Eight](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/essential-eight) 缓解策略。
## 为何关注 Essential Eight?
MITRE ATT&CK 是检测领域的通用语言,但澳大利亚政府及关键基础设施环境是根据 Essential Eight 成熟度模型进行评估的。此项目将检测直接映射到 E8 控制项,以便 SOC 团队能够回答:*“我们是否检测到了对自身缓解措施的绕过?”*
## 结构
```
rules/ # Sigma rules, one folder per E8 control
e8-01-application-control/
e8-02-patch-applications/
e8-03-office-macros/
e8-04-user-app-hardening/
e8-05-restrict-admin/
e8-06-patch-os/
e8-07-mfa/
e8-08-backups/
emulation/ # PowerShell emulation scripts per control
e8-01/ … e8-08/
tools/
e8query.py # CLI: filter rules by control, ML, log source
docs/
mapping.yaml # E8 control → ATT&CK technique cross-reference
```
## Essential Eight 控制项
| # | 控制项 | 成熟度级别 |
|---|---------|----------------|
| E8-01 | 应用程序控制 | ML1–ML3 |
| E8-02 | 修补应用程序 | ML1–ML3 |
| E8-03 | 配置 Microsoft Office 宏设置 | ML1–ML3 |
| E8-04 | 用户应用程序强化 | ML1–ML3 |
| E8-05 | 限制管理权限 | ML1–ML3 |
| E8-06 | 修补操作系统 | ML1–ML3 |
| E8-07 | 多因素认证 | ML1–ML3 |
| E8-08 | 定期备份 | ML1–ML3 |
## 快速开始
### Web 仪表板
```
pip install flask pyyaml
python tools/webapp/app.py
# 打开 http://localhost:5000
```
功能:按控制项的覆盖概览、可筛选的规则浏览器、带有 YAML 查看器和调优说明的规则详情、E8↔ATT&CK 映射。
### 按控制项查询规则(CLI)
```
python tools/e8query.py --control e8-05
python tools/e8query.py --maturity ML2
python tools/e8query.py --logsource windows --control e8-03
python tools/e8query.py --list
```
### 验证所有规则
```
pip install sigma-cli
sigma check rules/
```
### 将规则转换为 SIEM 后端
```
# Splunk
sigma convert -t splunk rules/e8-05-restrict-admin/
# Microsoft Sentinel (KQL)
sigma convert -t microsoft365defender rules/e8-01-application-control/
# Elastic
sigma convert -t elasticsearch rules/
```
### 运行模拟(仅限实验室环境)
```
# 在 Windows VM 中以非管理员身份运行
.\emulation\e8-03\Invoke-MacroEmulation.ps1
```
## 规则元数据约定
每个规则在 `tags` 和 `custom` 下均包含以下自定义字段:
```
tags:
- e8.control.01 # E8 control number
- e8.maturity.ml2 # minimum maturity level where this should fire
- attack.t1059.001 # ATT&CK technique
custom:
e8_control: "E8-01"
e8_maturity: "ML2"
e8_bypass_technique: "LOLBAS via mshta.exe"
false_positive_rate: low # low / medium / high
```
## 贡献
参见 [CONTRIBUTING.md](CONTRIBUTING.md)。合并至 SigmaHQ 上游的规则提交将在下表中被致谢。
## 上游 SigmaHQ 的 Pull Request
正在准备 `e8_08_shadow_copy_deletion` 和 `e8_03_office_spawns_shell_process` 以首次提交上游。
规则将在提交前移除项目特定的 `e8.*` 标签;请参见 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 参考
- [ASD Essential Eight 详解](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/essential-eight/essential-eight-explained)
- [Essential Eight 成熟度模型](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/essential-eight/essential-eight-maturity-model)
- [SigmaHQ 规则规范](https://github.com/SigmaHQ/sigma-specification)
- [MITRE ATT&CK](https://attack.mitre.org/)
## 许可证
规则:[检测规则许可证(DRL)1.1](https://github.com/SigmaHQ/Detection-Rule-License)
模拟脚本:MIT 许可证
标签:AI合规, AMSI绕过, ASD Essential Eight, Cloudflare, DRL许可证, E8-01应用控制, E8-02补丁管理, E8-03宏配置, E8-04用户应用加固, E8-05权限限制, E8-06操作系统补丁, E8-07多因素认证, E8-08备份, MITRE ATT&CK, PowerShell仿真, Sigma规则, URL发现, 合规映射, 后端开发, 威胁检测, 安全实验室, 安全控制, 安全检测, 检测规则, 澳大利亚SOC, 目标导入, 网络资产发现, 规则映射, 逆向工具