CaziahDevs/Detection-Rules

# 检测规则 使用 Sigma 编写的自定义检测规则集合，并映射至 MITRE ATT&CK 框架。 ## 理念 每条规则均围绕基于关联的检测逻辑构建——针对行为模式而非孤立事件进行告警。其目标是实现高保真检测，并具有可控的误报面。 ## 结构 规则按战术进行组织，并包含涵盖以下内容的文档： - 被检测的行为 - 相关日志源 - ATT&CK 战术与技术映射 - 已知误报注意事项 ## 规则索引 | 规则 | 战术 | 严重程度 | |------|--------|----------| | [可疑的 LSASS 访问](rules/credential-access/suspicious-lsass-access.yml) | 凭证访问 | Medium | | [非工作时间的暴力破解与计划任务](rules/correlated/brute_force_success_with_scheduled_task/brute_force_success_with_scheduled_task.yml) | 凭证访问, 持久化, 防御规避 | High | | [票据传递](rules/lateral-movement/pass_the_ticket.yml) | 横向移动 | High | | [LSASS 到票据传递](rules/correlated/lsass_to_pass_the_ticket/lsass_to_pass_the_ticket.yml) | 凭证访问, 横向移动 | Critical | ## 状态 这是一个不断更新的活跃仓库，会随着新检测用例的开发而更新。 ## 日志源 - Firewall — 端口扫描，来自被阻止国家的流量，对关键端口的访问，过度宽松的规则 - IPS/IDS — 异常流量模式，已知漏洞利用，恶意软件下载 - WAF — SQL 注入，XSS，CSRF，机器人流量 - Linux — 权限提升，未经授权的 root 访问，SSH 异常，对 /etc/passwd 或 /etc/shadow 的更改 - Windows — 日志删除，Domain Admin 组更改，RDP 尝试，未经授权的账户创建 - Linux — 权限提升，未经授权的 root 访问，SSH 异常，对 /etc/passwd 或 /etc/shadow 的更改 - Network devices — 不安全的协议（如 Telnet），策略违规，关键端口停机 - Endpoint — 防病毒隔离事件，EDR 威胁检测，EPP 拦截 - VPN — 非工作时间访问，不可能的旅行，VPN 流量中的未授权软件 - VM Platform — 权限变更，VM 创建/删除，备份遗漏 - Vulnerability Management — 检测到的严重漏洞，扫描失败 *映射至 [MITRE ATT&CK](https://attack.mitre.org/)*

标签：AMSI绕过, Cloudflare, Conpot, IPS, LSASS访问, MITRE ATT&CK, Modbus, PoC, Sigma规则, WAF, Windows安全, 关联分析, 哈希传递攻击, 威胁检测, 威胁检测与响应, 安全规则库, 安全运营, 扫描框架, 暴力破解, 横向移动, 目标导入, 私有化部署, 端点安全, 红队行动, 编程规范, 网络安全, 补丁管理, 防御规避, 防火墙, 隐私保护, 高保真检测