Sterl1337/sigma-detection-rules-lab

# Sigma 检测规则实验室 专注于构建 Sigma 风格检测内容、验证安全样本遥测数据，并为蓝队审查记录 ATT&CK 对齐规则逻辑的作品集项目。 ## 此项目证明的能力 - 熟悉 Sigma 规则结构 - 检测工程基础知识 - Windows 事件和 Sysmon 检测思维 - ATT&CK 映射规范 - 可重复的验证工作流程 ## 仓库结构 ``` sigma-detection-rules-lab/ README.md rules/ suspicious_powershell.yml encoded_powershell.yml rundll32_unusual_parent.yml sample_events/ windows_process_events.jsonl tests/ rule_test_matrix.json scripts/ run_rule_tests.py reports/ rule_validation_report.md docs/ rule_notes.md mitre_mapping.md validation_workflow.md diagrams/ sigma_rule_flow.mmd screenshots/ README.md LICENSE .gitignore ``` ## 包含的规则 - 可疑的 PowerShell 执行 - 编码 PowerShell 命令使用 - 异常的 `rundll32.exe` 父子进程行为 ## 验证工作流程 1. 加载样本 Windows 进程遥测数据 2. 将每个事件与规则测试矩阵进行比较 3. 记录应该匹配的 Sigma 规则 4. 生成分析师风格的验证报告 ## 运行方式 ``` python scripts/run_rule_tests.py ``` ## 作品集说明 此仓库是实验室安全的。规则、事件和验证笔记旨在展示可解释的检测逻辑和测试规范，而非生产环境事件证据。

标签：AMSI绕过, Cloudflare, Conpot, DNS 反向解析, Homebrew安装, MITRE ATT&CK, PowerShell检测, Sigma规则, Sysmon, URL发现, Windows安全, 威胁检测, 安全检测, 安全运营, 扫描框架, 时序数据库, 目标导入, 知识库安全, 端点检测, 规则验证, 逆向工具