mrezwanulbari/cybersecurity-defense-frameworks

GitHub: mrezwanulbari/cybersecurity-defense-frameworks

面向企业 SOC 团队的纵深防御参考框架,提供与 MITRE ATT&CK 等标准对齐的 YARA/Sigma 检测规则和事件响应 Playbook 模板。

Stars: 1 | Forks: 0

# 网络安全防御框架与检测规则 [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](LICENSE) 由 [Shakil Md. Rezwanul Bari](https://www.linkedin.com/in/rezwanulbari) 开发的**开源网络安全防御资源**——他是一名拥有 17 年以上经验的网络安全架构师,致力于保护金融服务、云技术以及国际发展部门的关键基础设施。 ## 概述 本仓库包含可复用、与特定框架无关的网络安全防御资源,包括: - **Sigma 检测规则** — 映射到 MITRE ATT&CK 的供应商中立型检测规则,适用于任何 SIEM 平台 - **YARA 规则** — 用于恶意软件检测、Webshell 识别和漏洞利用分析的模式匹配规则 - **Playbook 模板** — 与 MITRE ATT&CK 和 D3FEND 框架对齐的标准化事件响应、威胁狩猎和合规自动化 playbook 模板 这些资源旨在**可迁移且可采纳**,供任何安全运营团队使用,无论其所属行业垂直领域或使用何种工具。 ## 仓库结构 ``` ├── sigma-rules/ │ ├── web-attacks/ # Web application attack detection │ ├── credential-access/ # Credential theft and abuse detection │ ├── lateral-movement/ # Lateral movement detection │ ├── exfiltration/ # Data exfiltration detection │ └── persistence/ # Persistence mechanism detection ├── yara-rules/ │ ├── malware/ # Malware family detection │ ├── webshells/ # Web shell detection │ └── exploits/ # Exploit payload detection ├── playbook-templates/ │ ├── incident-response/ # IR playbook templates │ ├── threat-hunting/ # Threat hunting playbook templates │ └── compliance/ # Compliance automation templates └── docs/ ├── MITRE-MAPPING.md # ATT&CK technique mapping reference └── DEPLOYMENT-GUIDE.md # Deployment and integration guide ``` ## 框架对齐 所有检测规则和 playbook 均映射到行业标准框架: | 框架 | 覆盖范围 | |-----------|----------| | **MITRE ATT&CK** | 映射到每个检测规则的技术 ID | | **MITRE D3FEND** | 针对防御 playbook 的防御技术对齐 | | **NIST CSF 2.0** | 用于合规模板的控制映射 | | **PCI-DSS v4.0.1** | 金融行业合规映射 | | **ISO 27001:2022** | 信息安全管理对齐 | ## 快速入门 ### Sigma 规则 可以使用 [sigmac](https://github.com/SigmaHQ/sigma) 或 [pySigma](https://github.com/SigmaHQ/pySigma) 将 Sigma 规则转换为你的 SIEM 原生查询语言。 ``` # 转换为 Splunk SPL sigmac -t splunk sigma-rules/credential-access/brute_force_auth_failures.yml # 转换为 Microsoft Sentinel KQL sigmac -t ala sigma-rules/credential-access/brute_force_auth_failures.yml ``` ### YARA 规则 YARA 规则可以部署在任何兼容 YARA 的工具中: ``` yara -r yara-rules/malware/ransomware_indicators.yar /path/to/scan ``` ### Playbook 模板 Playbook 模板以 YAML/Markdown 格式提供,可以导入到 SOAR 平台(Cortex XSOAR、Splunk SOAR、IBM Resilient)中,或用作标准操作程序。 ## 背景 这些资源是通过在以下领域 17 年以上的实际网络安全运营经验开发而成的: - **金融服务** — Bank Asia PLC、NCC Bank PLC、BA Express - **云技术** — Cloud Himalaya - **国际发展** — IDRA(世界银行项目) - **教育** — Daffodil Institute of IT 使用这些方法取得的关键成果: - 事件响应时间减少 60% - MTTD/MTTR 降低 45% - 误报减少 40% - 安全态势提升 80%(PCI-DSS v4.0.1) ## 许可证 本项目采用 MIT 许可证授权——详情请参阅 [LICENSE](LICENSE)。 ## 作者 **Shakil Md. Rezwanul Bari** - LinkedIn: [linkedin.com/in/rezwanulbari](https://www.linkedin.com/in/rezwanulbari) - 电子邮件: rezwanbari@gmail.com - 认证资格: CISM, CISA, CySA+, Security+, AWS SA, Azure SC-100, AZ-500, CEH, Splunk ES Admin, ISO 27001 LA(共 18 项)
标签:DNS信息、DNS暴力破解, Sigma规则, YARA规则, 子域枚举, 库, 应急响应, 目标导入, 网络安全, 防御加固, 隐私保护