0xploitNinja/Detection-Rules

# 检测规则 检测工程仓库包含： - Wazuh 检测规则 - Auditd syscall 监控 - Linux 威胁狩猎内容 - 特定 CVE 的检测 - 检测工程研究 # 当前 CVEs | CVE | 描述 | 检测 | |------|-------------|-----------| | CVE-2026-31431 | Linux 内核 Copy Fail 本地提权 | Wazuh + Auditd | # 仓库结构 ``` Detection-Rules/ └── CVEs/ └── CVE-2026-31431/ ``` # 检测覆盖范围 当前检测包括： - AF_ALG socket 监控 - splice() syscall 监控 - execve 监控 - 权限提升检测 - syscall 遥测关联 # 平台 - Wazuh - Auditd - Linux - Rocky Linux - AlmaLinux - RHEL # MITRE ATT&CK | 技术 | 描述 | |---|---| | T1068 | 利用漏洞进行权限提升 | | T1203 | 利用漏洞执行客户端程序 |

标签：AF_ALG套接字, AlmaLinux, AMSI绕过, Auditd, Claude, CVE检测, execve监控, Go语言工具, GPT, RHEL, Rocky Linux, splice系统调用, Syscall遥测, Wazuh, Web报告查看器, 协议分析, 威胁检测, 安全规则库, 安全运营, 开源安全工具, 扫描框架, 本地提权, 权限提升, 检测规则, 漏洞利用防护, 漏洞管理, 网络资产发现, 逆向工程平台