ArcenumSystems/Detection-Rules

# Arcenum Systems — 通用 SIEM 检测规则 ## 概述 适用于所有主要 SIEM 平台的生产级、真实世界 APT 检测规则。 每条规则均基于**真实事件中记录的威胁行为者行为**。 每条规则都包含 `WHY THIS FIRES` ——以便您的 SOC 团队确切知道环境中存在哪些威胁。 ## 仓库结构 ``` arcenum-systems-detection-rules/ ├── splunk/ │ ├── advanced/ # Single-event SPL detections │ └── correlation/ # Multi-stage kill chain correlations ├── sentinel/ │ ├── advanced/ # KQL analytics rules │ └── correlation/ # Multi-stage KQL correlations ├── crowdstrike/ │ ├── advanced/ # CrowdStrike FQL detections │ └── correlation/ # FQL kill chain correlations ├── chronicle/ │ ├── advanced/ # YARA-L single detections │ └── correlation/ # YARA-L multi-event correlations ├── elastic/ │ ├── advanced/ # EQL detection rules │ └── correlation/ # EQL sequence correlations └── sigma/ ├── advanced/ # Universal Sigma rules └── correlation/ # Sigma correlation rules ``` ## 威胁行为者覆盖范围 | 行为者 | 来源 | 涵盖的 TTP | |---|---|---| | **APT29 (Cozy Bear)** | 俄罗斯 | SUNBURST、DLL 侧加载、Golden SAML、DCSync | | **APT41** | 中国 | WMI 持久化、供应链、DCOM | | **Lazarus Group** | 朝鲜 | 剪贴板劫持、加密货币盗窃、Docker 挖矿 | | **BlackCat/ALPHV** | 未知 | 完整的勒索软件杀伤链 | | **Scattered Spider** | 英语 | MFA 疲劳攻击、SIM 卡劫持、云攻击 | | **LockBit 3.0** | 未知 | 快速加密、勒索前侦察 | | **Volt Typhoon** | 中国 | LOTL 侦察、IMDS SSRF、关键基础设施 | | **FIN7** | 东欧 | DCOM 横向移动、DNS 隧道 | ## 规则类别 | 类别 | 高级 | 关联 | |---|---|---| | 凭据访问 | LSASS、DCSync、Kerberoasting、Golden Ticket | APT29 杀伤链 | | 防御规避 | AMSI 绕过、ETW 补丁、GuardDuty 禁用 | — | | 勒索软件 | 卷影副本删除 | 完整的勒索软件杀伤链 | | 云 | AWS GuardDuty、Golden SAML、IMDS SSRF | — | | 网络 | DNS 隧道、C2 信标 | 暴力破解 → C2 | | 身份 | MFA 疲劳攻击、SIM 卡劫持 | — | | 容器 | cgroup 逃逸、Docker socket 滥用 | — | ## 部署 ### Splunk ``` Settings → Searches, Reports and Alerts → Import .spl file ``` ### Microsoft Sentinel ``` Analytics → Create → Import rule → Upload .kql file ``` ### CrowdStrike Falcon ``` Investigate → Event Search → Paste .fql query ``` ### Google Chronicle ``` Detection Engine → Rules → New Rule → Import .yaral file ``` ### Elastic SIEM ``` Security → Rules → Import rules → Upload .toml file ``` ### Sigma (通用) ``` pip install sigmatools sigmac -t splunk sigma/advanced/lsass_access.yml sigmac -t sentinel sigma/advanced/lsass_access.yml ``` ## 关于 由 **Pradhyumna Ghogare** 作为 **Arcenum Systems** 的一部分构建 —— 这是一个独立的 网络安全研发项目，致力于提供企业级的检测工程技术。 - **GitHub:** [github.com/PradhyumnaGhogare](https://github.com/PradhyumnaGhogare) - **组织:** [github.com/ArcenumSystems](https://github.com/ArcenumSystems) *为那些以为没人在看着的对手而设计。* **— Pradhyumna Ghogare, Arcenum Systems © 2024**

标签：AMSI绕过, API接口, APT29, APT41, APT攻击, Azure Sentinel, BlackCat, CISA项目, CrowdStrike, Elastic SIEM, EQL, FIN7, FQL, GitHub开源项目, Google Chronicle, IP 地址批量处理, KQL, Lazarus, LockBit, PE 加载器, Python安全, Scattered Spider, Splunk SPL, Volt Typhoon, YARA-L, 事件关联, 供应链攻击, 勒索软件, 威胁检测, 安全工程, 安全运营, 扫描框架, 插件系统, 数据展示, 文档安全, 无线安全, 杀伤链, 横向移动, 红队, 编程规范, 网络安全, 防御绕过, 隐私保护, 高级持续性威胁