NourKhalil0/detection-rules
GitHub: NourKhalil0/detection-rules
这是一个包含多格式(Sigma、KQL、SPL)的威胁检测规则库,覆盖常见攻击技术并附带详尽的告警分诊指南,旨在帮助安全团队快速落地SIEM检测与响应。
Stars: 0 | Forks: 0
# 检测规则
这是我作为家庭实验室检测工程工作的一部分所编写的一组检测规则集合。规则使用 Sigma(通用格式)、KQL(Microsoft Sentinel)和 SPL(Splunk)编写。每条规则都包含了其检测内容的上下文、涵盖的 ATT&CK 技术、需要考虑的误报情况,以及我将如何对来自该规则的警报进行分诊。
相关项目:[homelab-detection](https://github.com/NourKhalil0/homelab-detection)
## 规则覆盖范围
| # | 规则名称 | 格式 | ATT&CK ID | 技术 |
|---|-----------|--------|-----------|-----------|
| 1 | PowerShell 编码命令 | Sigma | T1059.001 | 命令和脚本解释器 |
| 2 | LSASS 内存访问 | Sigma | T1003.001 | 操作系统凭据转储 |
| 3 | 通过失败登录进行密码喷洒 | Sigma | T1110.001 | 暴力破解 |
| 4 | 通过 schtasks.exe 创建计划任务 | Sigma | T1053.005 | 计划任务 |
| 5 | 可疑的注册表启动键 | Sigma | T1547.001 | 注册表启动键 |
| 6 | Net 用户枚举 | Sigma | T1087.001 | 账户发现 |
| 7 | 通过 cmd.exe 执行 Base64 编码的 PowerShell | Sigma | T1027 | 混淆文件 |
| 8 | WMI 横向移动 | Sigma | T1021.006 | 远程服务 WMI |
| 9 | 命令行中的 Mimikatz 关键字 | Sigma | T1003 | 操作系统凭据转储 |
| 10 | cmd.exe 的异常父进程 | Sigma | T1059.003 | Windows 命令行 Shell |
| 11 | RDP 暴力破解 | KQL | T1110.001 | 暴力破解 |
| 12 | PowerShell 编码命令 | KQL | T1059.001 | 命令和脚本解释器 |
| 13 | 可疑的计划任务 | KQL | T1053.005 | 计划任务 |
| 14 | LSASS 访问 | KQL | T1003.001 | 操作系统凭据转储 |
| 15 | 大量失败登录 | SPL | T1110.001 | 暴力破解 |
| 16 | 编码的 PowerShell | SPL | T1059.001 | 命令和脚本解释器 |
## 项目结构
```
detection-rules/
README.md
docs/
coverage.svg - rule coverage diagram
triage-guide.md - triage notes per rule
rules/
sigma/ - 10 Sigma rules
kql/ - 4 KQL queries (Microsoft Sentinel)
spl/ - 2 SPL queries (Splunk)
```
## 如何使用 Sigma 规则
使用 sigma-cli 转换为您的 SIEM 格式:
```
sigma convert -t splunk rules/sigma/
sigma convert -t microsoft365defender rules/sigma/
sigma convert -t es-qs rules/sigma/
```
## 分诊工作流
并非每个警报都需要相同的处理方式。对于每个警报,我会查看:
1. 进程树 - 是什么启动了它?父进程的上下文决定了一切。
2. 用户账户 - 该账户是否应该执行此类操作?
3. 时间 - 周末凌晨 2 点与周二上午 10 点是不同的。
4. 相关警报 - 孤立的警报与同一主机/用户上的警报模式的对比。
5. 决定:升级处理、附带说明关闭,或继续观察以获取更多信息。
完整的分诊说明见 [docs/triage-guide.md](docs/triage-guide.md)。
## 工具
- Sigma - https://github.com/SigmaHQ/sigma
- sigma-cli - https://github.com/SigmaHQ/sigma-cli
- MITRE ATT&CK - https://attack.mitre.org
- Microsoft Sentinel - https://learn.microsoft.com/en-us/azure/sentinel
- Wazuh - https://wazuh.com
标签:AMSI绕过, ATT&CK映射, Cloudflare, DNS 反向解析, Homelab, IPv6, KQL, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, PoC, PowerShell, RDP安全, Sigma规则, Splunk SPL, 凭据转储, 告警分诊, 命令与脚本解释器, 威胁检测, 安全运营, 家庭实验室, 密码喷洒, 扫描框架, 暴力破解, 横向移动, 目标导入, 私有化部署, 编程规范, 网络安全, 速率限制处理, 防御规避, 隐私保护