faridpashazade/siem-rules-as-code
GitHub: faridpashazade/siem-rules-as-code
通过GitHub实现SIEM检测规则的版本化管理与自动化部署,解决手动维护检测规则效率低、缺乏审计的问题。
Stars: 0 | Forks: 0
# SIEM 规则即代码
本项目通过 GitHub 管理 SIEM 检测规则。
## 目标
目标是避免在 SIEM 平台内部手动编写和更新检测规则。
GitHub 被用作事实来源,规则通过 API 部署到 SIEM 平台。
## 当前范围
- Splunk 检测规则
- 基于 YAML 的检测格式
- 规则验证
- Dry-run 部署
- 基于 API 的 Splunk 部署
- GitHub Actions 流水线
QRadar 集成将在后续添加。
## 项目结构
```
rules/
splunk/
*.yml
scripts/
validate_rules.py
deploy_splunk.py
.github/workflows/
splunk-rules.yml
```
标签:AMSI绕过, API 部署, CI/CD 安全, DevSecOps, GitHub Actions, IBM QRadar, YAML, 上游代理, 威胁检测, 安全库, 安全检测规则, 开源安全项目, 数据投毒防御, 特权提升, 自动化部署, 自动笔记, 规则即代码, 逆向工具