marcopedrinazzi/detection-rules

GitHub: marcopedrinazzi/detection-rules

一个涵盖 Sigma、Nova、Elastic 等多种格式的安全检测规则集合，包含云安全、网络安全、邮件安全和 AI 工具监控等领域的检测逻辑与研究笔记。

Stars: 0 | Forks: 0

# 公开检测规则与研究本仓库是我的公开检测工程工作区。其中包含我所编写或参与贡献的各种格式规则，以及针对其他遥测数据的研究笔记和检测想法。 ## 检测想法 - [Claude Code OpenTelemetry 检测想法](ideas/otel-claude-code/otel-claude-code.md) ## [Sigma 规则](https://github.com/SigmaHQ/sigma) - [Axios User-Agent 登录 Azure](sigma/azure_ad_signin_axios_user_agent.yml) - [FortiGate - 新增防火墙地址对象](sigma/fortinet_fortigate_new_firewall_address_object.yml) - [FortiGate - 创建新管理员账户](sigma/fortinet_fortigate_new_admin_account_created.yml) - [FortiGate - 新增防火墙策略](sigma/fortinet_fortigate_new_firewall_policy_added.yml) - [FortiGate - 创建新本地用户](sigma/fortinet_fortigate_new_local_user_created.yml) - [FortiGate - 新增 VPN SSL Web 门户](sigma/fortinet_fortigate_new_vpn_ssl_web_portal.yml) - [FortiGate - 修改用户组](sigma/fortinet_fortigate_user_group_modified.yml) - [FortiGate - 修改 VPN SSL 设置](sigma/fortinet_fortigate_vpn_ssl_settings_modified.yml) - [O365 中的收件箱规则创建或更新活动](sigma/microsoft365_susp_inbox_rule_creation_or_update_activity.yml) - [通过 ExchangePowerShell Cmdlet 创建或更新收件箱规则活动](sigma/posh_ps_inbox_rule_creation_or_update_activity.yml) - [通过 ExchangePowerShell Cmdlet 执行邮件转发/重定向活动](sigma/posh_ps_email_forwarding_activity.yml) - [OpenCanary - 主机端口扫描 (SYN 扫描)](sigma/opencanary_portscan_syn_scan.yml) - [OpenCanary - NMAP FIN 扫描](sigma/opencanary_portscan_nmap_fin_scan.yml) - [OpenCanary - NMAP NULL 扫描](sigma/opencanary_portscan_nmap_null_scan.yml) - [OpenCanary - NMAP OS 扫描](sigma/opencanary_portscan_nmap_os_scan.yml) - [OpenCanary - NMAP XMAS 扫描](sigma/opencanary_portscan_nmap_xmas_scan.yml) - [OpenCanary - RDP 新建连接尝试](sigma/opencanary_rdp_connection_attempt.yml) - [Microsoft 365 中传递的可疑电子邮件](sigma/microsoft365_suspicious_email_delivered.yml) - [通过 Reg.Exe 发现系统语言](sigma/proc_creation_win_reg_system_language_discovery.yml) ## [Nova 规则](https://github.com/Nova-Hunting/nova-rules) - [Claude 对话终结符](nova/claude_conversation_enders.nov) - [Claude 拒绝 Magic String](nova/claude_magic_string.nov) - [蜜罐规则](nova/honeypot.nov) - [注入动态上下文](nova/inject_dynamic_context.nov) - [技能规则](nova/skill_rules.nov) - [隐藏的 Unicode](nova/hidden_unicode.nov) ## [Elastic 规则](https://github.com/elastic/detection-rules) - [M365 Exchange 收件箱转发规则创建](elastic/collection_exchange_new_inbox_rule.toml) - [M365 Exchange 收件箱网络钓鱼规避规则创建](elastic/defense_evasion_exchange_new_inbox_rule_delete_or_move.toml)

标签：AMSI绕过, PE 加载器, Python安全, Sigma规则, 威胁检测, 安全, 插件系统, 用户代理, 目标导入, 超时处理