elchacal801/flame-detections

# FLAME 检测规则 [](https://opensource.org/licenses/MIT) **基于 FLAME 分类法构建的开源欺诈检测规则包。** 这是 [FLAME Exchange](https://github.com/elchacal801/flame-fraud) 的实验性检测内容姊妹项目。不同的更新节奏，不同的质量标准，不同的贡献要求。检测规则存放于此；分类法、威胁路径和情报上下文则存放在 flame-fraud 中。 ## 统计数据 | 指标 | 数量 | |--------|-------| | 检测规则总数 | 221 | | Sigma 兼容规则 | 98 (44%) | | 需要原生查询的规则 | 123 (56%) | ## 可移植性 **98 条规则为纯 Sigma 规则**，可通过 pySigma 后端自动转换为 SPL、EQL 和 KQL。 **123 条规则需要 Sigma 无法表达的有状态关联**（聚合、时序排列、多事件关联）。为此，我们提供了手写的 CQL 和 SPL 原生查询。KQL 和 EQL 原生等效查询已列入路线图。 有关详细分类，请参见 [docs/PORTABILITY.md](docs/PORTABILITY.md)。 ## 快速开始 ### 前置条件 ``` python -m pip install -r requirements.txt ``` ### 验证规则 ``` python scripts/validate_rules.py ``` ### 导出 Sigma 包 ``` python scripts/export_sigma.py ``` ### 同步 FLAME 分类法 ``` python scripts/sync_with_flame_taxonomy.py ``` 这将从 [flameintel.org](https://flameintel.org) 获取最新的 FLAME 分类法，并将其在本地缓存以用于规则验证。 ## 仓库结构 ``` flame-detections/ DetectionLogic/ # Sigma-format YAML detection rules sigma-exports/ # Auto-generated Sigma exports (SPL, KQL, EQL) data/ # Cached taxonomy and reference data scripts/ # Build and validation scripts tests/ # Pytest test suite docs/ # Architecture and design docs ``` ## 与 FLAME Exchange 的关系 本仓库使用了 [FLAME 分类法](https://github.com/elchacal801/flame-fraud)，但并未对其进行复制。检测规则中引用的威胁路径 ID (TP-XXXX) 会根据从 FLAME GitHub Pages API 获取的分类法缓存副本进行验证。 有关分类法上下文、威胁情报以及完整的欺诈杀伤链，请参见 [flame-fraud](https://github.com/elchacal801/flame-fraud)。 ## 贡献指南 有关质量标准和提交要求，请参见 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 本项目基于 MIT 许可证授权。

标签：AMSI绕过, CQL查询, CSV导出, EQL查询, FLAME分类法, IP 地址批量处理, KQL查询, pySigma, Sigma规则, SPL查询, YAML, 云计算, 多事件关联, 威胁情报, 威胁检测, 子域名变形, 安全库, 安全规则引擎, 开发者工具, 开源欺诈检测, 欺诈防范, 状态关联, 目标导入, 网络安全, 规则引擎, 逆向工具, 配置错误, 金融犯罪检测, 隐私保护