TaoTheReaper/custom-sigma-rules

# 自定义 Sigma 规则   ## 概述 这是一个针对真实攻击技术的自定义 Sigma 检测规则的个人库。规则按类别进行组织，每条规则都映射到 MITRE ATT&CK，并附有误报说明文档。 ## 项目初衷 编写检测规则是 SOC 分析师的核心技能——它展现了对攻击者行为和日志来源的深刻理解。这里的每一条规则都是在深入研究底层技术后从头编写的。 ## 规则索引 ### Active Directory | 规则 | MITRE | 级别 | |------|-------|-------| | [Kerberoasting](rules/ad-attacks/kerberoasting.yml) | T1558.003 | 高 | | [AS-REP Roasting](rules/ad-attacks/asrep-roasting.yml) | T1558.004 | 高 | | [DCSync](rules/ad-attacks/dcsync.yml) | T1003.006 | 严重 | | [Pass-the-Hash](rules/ad-attacks/pass-the-hash.yml) | T1550.002 | 中 | | [Golden Ticket](rules/ad-attacks/golden-ticket.yml) | T1558.001 | 高 | ### Linux | 规则 | MITRE | 级别 | |------|-------|-------| | [Cron 持久化](rules/linux/cron-persistence.yml) | T1053.003 | 中 | | [可疑的 Bash History 清除](rules/linux/bash-history-clear.yml) | T1070.003 | 高 | | [SUID Binary 滥用](rules/linux/suid-abuse.yml) | T1548.001 | 高 | ### Web 攻击 | 规则 | MITRE | 级别 | |------|-------|-------| | [Web Shell 上传](rules/web/webshell-upload.yml) | T1505.003 | 严重 | | [SQL 注入尝试](rules/web/sqli-attempt.yml) | T1190 | 中 | ### 持久化 | 规则 | MITRE | 级别 | |------|-------|-------| | [注册表 Run 键](rules/persistence/registry-run-key.yml) | T1547.001 | 中 | | [计划任务创建](rules/persistence/scheduled-task.yml) | T1053.005 | 中 | ### 横向移动 | 规则 | MITRE | 级别 | |------|-------|-------| | [PsExec 横向移动](rules/lateral-movement/psexec.yml) | T1021.002 | 高 | | [WMI 远程执行](rules/lateral-movement/wmi-remote.yml) | T1047 | 高 | ## 使用方法 ``` # 转换为 Splunk query sigma convert -t splunk rules/ad-attacks/kerberoasting.yml # 转换为 Elastic sigma convert -t elasticsearch-dsl rules/ad-attacks/dcsync.yml # Validate 所有 rules sigma check rules/ ``` ## 经验总结 - 从头编写规则能促使你理解准确的日志字段名称和值——你无法通过简单的复制粘贴来蒙混过关 - 误报调优在实际的 SOC 中占据了 80% 的工作量——每条规则都需要一个过滤部分 - Kerberoasting 中的 RC4 (0x17) 过滤器相比对所有 TGS 请求发出警报，能减少 95% 的噪音

标签：Active Directory安全, AMSI绕过, CISA项目, Cloudflare, DCSync, Kerberoasting, MITRE ATT&CK, Sigma规则, SOC分析, Webshell, Web安全, 协议分析, 威胁检测, 安全规则库, 持久化攻击, 攻击指标, 数据展示, 权限提升, 横向移动, 目标导入, 私有化部署, 红队, 编程规范, 网络安全, 蓝队分析, 防御规避, 隐私保护