Adir90/defensive-detection-rules
GitHub: Adir90/defensive-detection-rules
由独立防御安全研究员编写的 Windows 端点 Sigma 检测规则集,聚焦 ATT&CK v15 映射和误报调优实践。
Stars: 0 | Forks: 0
# 防御性检测规则
[](https://github.com/Adir90/defensive-detection-rules/actions/workflows/sigma-validate.yml)
[](https://opensource.org/licenses/MIT)
[](#rule-index)
[](https://attack.mitre.org/)
由一名独立防御安全研究员编写的 Sigma 检测规则,重点关注 Windows 端点遥测数据。所有规则均已通过 MITRE ATT&CK v15 验证。
## 仓库布局
```
defensive-detection-rules/
├── LICENSE MIT
├── README.md this file
├── rules/
│ └── windows/
│ ├── process_creation/
│ │ ├── muddywater_scheduled_task_vbscript_persistence.yml
│ │ ├── obfuscated_powershell_defender_disable.yml
│ │ └── suspicious_7zip_password_with_delete_source.yml
│ └── network_connection/
│ └── powershell_outbound_to_uncommon_tld_or_raw_ip.yml
├── tests/
│ └── README.md how to validate locally
└── .github/
└── workflows/
└── sigma-validate.yml CI: pySigma lint on every push / PR
```
## 规则索引
| 文件 | 日志源 | 技术 | 级别 |
| --- | --- | --- | --- |
| `muddywater_scheduled_task_vbscript_persistence.yml` | process_creation | T1053.005, T1059.005 | high |
| `obfuscated_powershell_defender_disable.yml` | process_creation | T1059.001, T1027, T1562.001 | high |
| `suspicious_7zip_password_with_delete_source.yml` | process_creation | T1560.001, T1027 | high |
| `powershell_outbound_to_uncommon_tld_or_raw_ip.yml` | network_connection | T1059.001, T1071.001, T1105 | high |
## 验证
每条规则在提交前均会在本地使用 `pySigma` 进行验证。重现步骤如下:
```
pip install --user pysigma pysigma-backend-elasticsearch
python -c "from sigma.collection import SigmaCollection; SigmaCollection.load_ruleset(['rules/'])"
```
CI 会在每次推送和拉取请求时通过 `.github/workflows/sigma-validate.yml` 运行相同的检查。
## 编写规范
- **匿名化处理。** 不包含来自任何真实入侵事件的特定文件名、哈希值、IP 地址、主机名、ASN 或活动内部构件。规则描述的是一种技术模式,而非单个样本。
- **防御性标头。** 每条规则均以一个 `# DEFENSIVE — owned-lab only` 注释块开头,说明了规则用途和匿名化保证。
- **ATT&CK 标签。** 每条规则都引用了 ATT&CK v15 下的至少一种技术。在适用的情况下,会标记相应的战术和子技术。
- **误报说明。** 每条规则都有一个 `falsepositives:` 部分,其中包含至少两个具体的调优提示。没有误报说明的检测规则不会被合并。
- **可调优过滤器。** 在已知良性基线的情况下(例如:具有签名的管理员路径、RFC1918 目标地址、常用管理端口),会将其表示为 `filter_*` 选择项,并在 `condition` 中通过 `not` 进行组合,从而使特定站点的调优只需修改一行代码。
## 使用、署名与联系方式
采用 MIT 许可证(参见 `LICENSE`)。如果您改编了某项规则,请注明对本仓库的引用,但这并非强制要求。
本仓库由一名独立研究员维护;欢迎提交 Issue 和拉取请求,但会进行异步审查。
标签:7zip, CI/CD验证, Cloudflare, DNS 反向解析, IPv6, MITRE ATT&CK, MIT许可, OpenCanary, PowerShell, Sigma规则, VBScript, Windows终端, YAML, 命令与控制, 安全信息与事件管理, 安全库, 安全检测规则, 搜索引擎爬取, 数据渗出, 混淆技术, 目标导入, 私有化部署, 端点安全, 终端遥测, 网络信息收集, 网络安全, 网络连接, 补丁管理, 计划任务, 防御规避, 隐私保护