mrezwanulbari/cybersecurity-defense-frameworks
GitHub: mrezwanulbari/cybersecurity-defense-frameworks
面向企业 SOC 团队的纵深防御参考框架,提供与 MITRE ATT&CK 等标准对齐的 YARA/Sigma 检测规则和事件响应 Playbook 模板。
Stars: 1 | Forks: 0
# 网络安全防御框架与检测规则
[](LICENSE)
由 [Shakil Md. Rezwanul Bari](https://www.linkedin.com/in/rezwanulbari) 开发的**开源网络安全防御资源**——他是一名拥有 17 年以上经验的网络安全架构师,致力于保护金融服务、云技术以及国际发展部门的关键基础设施。
## 概述
本仓库包含可复用、与特定框架无关的网络安全防御资源,包括:
- **Sigma 检测规则** — 映射到 MITRE ATT&CK 的供应商中立型检测规则,适用于任何 SIEM 平台
- **YARA 规则** — 用于恶意软件检测、Webshell 识别和漏洞利用分析的模式匹配规则
- **Playbook 模板** — 与 MITRE ATT&CK 和 D3FEND 框架对齐的标准化事件响应、威胁狩猎和合规自动化 playbook 模板
这些资源旨在**可迁移且可采纳**,供任何安全运营团队使用,无论其所属行业垂直领域或使用何种工具。
## 仓库结构
```
├── sigma-rules/
│ ├── web-attacks/ # Web application attack detection
│ ├── credential-access/ # Credential theft and abuse detection
│ ├── lateral-movement/ # Lateral movement detection
│ ├── exfiltration/ # Data exfiltration detection
│ └── persistence/ # Persistence mechanism detection
├── yara-rules/
│ ├── malware/ # Malware family detection
│ ├── webshells/ # Web shell detection
│ └── exploits/ # Exploit payload detection
├── playbook-templates/
│ ├── incident-response/ # IR playbook templates
│ ├── threat-hunting/ # Threat hunting playbook templates
│ └── compliance/ # Compliance automation templates
└── docs/
├── MITRE-MAPPING.md # ATT&CK technique mapping reference
└── DEPLOYMENT-GUIDE.md # Deployment and integration guide
```
## 框架对齐
所有检测规则和 playbook 均映射到行业标准框架:
| 框架 | 覆盖范围 |
|-----------|----------|
| **MITRE ATT&CK** | 映射到每个检测规则的技术 ID |
| **MITRE D3FEND** | 针对防御 playbook 的防御技术对齐 |
| **NIST CSF 2.0** | 用于合规模板的控制映射 |
| **PCI-DSS v4.0.1** | 金融行业合规映射 |
| **ISO 27001:2022** | 信息安全管理对齐 |
## 快速入门
### Sigma 规则
可以使用 [sigmac](https://github.com/SigmaHQ/sigma) 或 [pySigma](https://github.com/SigmaHQ/pySigma) 将 Sigma 规则转换为你的 SIEM 原生查询语言。
```
# 转换为 Splunk SPL
sigmac -t splunk sigma-rules/credential-access/brute_force_auth_failures.yml
# 转换为 Microsoft Sentinel KQL
sigmac -t ala sigma-rules/credential-access/brute_force_auth_failures.yml
```
### YARA 规则
YARA 规则可以部署在任何兼容 YARA 的工具中:
```
yara -r yara-rules/malware/ransomware_indicators.yar /path/to/scan
```
### Playbook 模板
Playbook 模板以 YAML/Markdown 格式提供,可以导入到 SOAR 平台(Cortex XSOAR、Splunk SOAR、IBM Resilient)中,或用作标准操作程序。
## 背景
这些资源是通过在以下领域 17 年以上的实际网络安全运营经验开发而成的:
- **金融服务** — Bank Asia PLC、NCC Bank PLC、BA Express
- **云技术** — Cloud Himalaya
- **国际发展** — IDRA(世界银行项目)
- **教育** — Daffodil Institute of IT
使用这些方法取得的关键成果:
- 事件响应时间减少 60%
- MTTD/MTTR 降低 45%
- 误报减少 40%
- 安全态势提升 80%(PCI-DSS v4.0.1)
## 许可证
本项目采用 MIT 许可证授权——详情请参阅 [LICENSE](LICENSE)。
## 作者
**Shakil Md. Rezwanul Bari**
- LinkedIn: [linkedin.com/in/rezwanulbari](https://www.linkedin.com/in/rezwanulbari)
- 电子邮件: rezwanbari@gmail.com
- 认证资格: CISM, CISA, CySA+, Security+, AWS SA, Azure SC-100, AZ-500, CEH, Splunk ES Admin, ISO 27001 LA(共 18 项)
标签:DNS信息、DNS暴力破解, Sigma规则, YARA规则, 子域枚举, 库, 应急响应, 目标导入, 网络安全, 防御加固, 隐私保护