Sidharth-Sanwariya/Sigma-Rules

# 检测工程的 Sigma 规则 我在学习检测工程时编写的自定义 Sigma 规则。 ## 规则 | 规则 | 描述 | MITRE 战术 | 级别 | |------|-------------|--------------|-------| | `failed_logons_sigma.yml` | 检测 60 秒内出现 5 次及以上的登录失败 | 凭据访问 (T1110) | Medium | | `admin_login_sigma.yml` | 检测管理员登录 (EventID 4672) | 权限提升 (T1078) | High | | `service_stopped_sigma.yml` | 检测 Windows 服务停止 | 影响 (T1489) | Medium | | `failed_sudo_sigma.yml` | 检测 Linux 上的 sudo 失败尝试 | 权限提升 (T1548) | Medium | ## 如何使用 1. 复制任意 `.yml` 文件 2. 访问 [uncoder.io](https://uncoder.io) 3. 粘贴规则 4. 转换为你的 SIEM (Splunk, Elastic, QRadar) 格式 ## 作者 Sidharth — linkedin.com/in/sidharth-sanwariya-3a33a5379 ## 标签 `#cybersecurity` `#detection-engineering` `#sigma-rules` `#soc`

标签：AMSI绕过, CCTV/网络接口发现, Conpot, CSV导出, PB级数据处理, QRadar, Sigma规则, Sudo提权监控, Uncoder, Windows安全, 事件ID 4672, 信息收集自动化, 凭据访问, 协议分析, 威胁检测, 安全信息和事件管理, 安全运维, 开源安全工具, 异常行为检测, 服务停止监控, 权限提升, 登录失败检测, 目标导入, 管理员登录监控, 红队检测, 网络安全, 规则转换, 逆向工程平台, 防御对抗, 隐私保护