athulya99/SIEM-Detection-Rules
GitHub: athulya99/SIEM-Detection-Rules
面向 Splunk、Sentinel 和 Chronicle 三大 SIEM 平台的生产级检测规则集合,覆盖凭据攻击、横向移动、勒索软件等关键威胁并映射 MITRE ATT&CK 框架。
Stars: 0 | Forks: 0
# SIEM 检测规则
一个用于 **Splunk**、**Microsoft Sentinel** 和 **Google Chronicle** 的生产就绪型检测规则集合,映射至 MITRE ATT&CK 框架。基于医疗环境安全运营的实战经验构建。
## 仓库结构
```
siem-detection-rules/
├── splunk/
│ ├── credential-attacks.spl
│ ├── lateral-movement.spl
│ ├── persistence.spl
│ ├── data-exfiltration.spl
│ └── ransomware-indicators.spl
├── sentinel/
│ ├── credential-attacks.kql
│ ├── lateral-movement.kql
│ ├── persistence.kql
│ ├── data-exfiltration.kql
│ └── ransomware-indicators.kql
├── chronicle/
│ ├── phishing-detection.yaral
│ └── privilege-escalation.yaral
├── testing/
│ └── sample-log-notes.md
└── README.md
```
## 规则覆盖范围
| 规则集 | 平台 | MITRE 战术 | MITRE 技术 |
|---|---|---|---|
| 凭据攻击 | Splunk, Sentinel | Credential Access | T1110, T1078 |
| 横向移动 | Splunk, Sentinel | Lateral Movement | T1021, T1550 |
| 持久化 | Splunk, Sentinel | Persistence | T1547, T1053 |
| 数据渗出 | Splunk, Sentinel | Exfiltration | T1048, T1567 |
| 勒索软件指标 | Splunk, Sentinel | Impact | T1486, T1490 |
| 钓鱼检测 | Chronicle | Initial Access | T1566 |
| 权限提升 | Chronicle | Privilege Escalation | T1068, T1078 |
## 平台说明
- **Splunk** — 规则使用 SPL (Search Processing Language)。已针对 Windows Security 和 Sysmon 事件日志进行测试。
- **Microsoft Sentinel** — 规则使用 KQL (Kusto Query Language)。专为与 Microsoft Defender 和 Azure AD 日志源配合使用而设计。
- **Google Chronicle** — 规则使用 YARA-L 2.0。专为 UDM (Unified Data Model) 事件源设计。
## MITRE ATT&CK Navigator
此仓库中的所有规则均映射至 [MITRE ATT&CK Enterprise Matrix](https://attack.mitre.org/)。每个规则文件的标头中都引用了技术 ID。
## 用法
每个规则文件包含:
- 规则描述和意图
- MITRE ATT&CK 映射
- 日志源要求
- 查询 / 规则
- 用于减少误报的调优说明
在生产环境中部署前,应针对您的环境对规则进行审查和调优。
## 作者
**Athulya Preetha Subhash**
数据安全专家 | 网络安全理学硕士
爱尔兰,都柏林
[LinkedIn](https://www.linkedin.com/in/athulya-subhash-11106b149/) | [GitHub](https://github.com/athulya99)
标签:AMSI绕过, ATT&CK框架, Azure AD, Cloudflare, EDR, Google Chronicle, healthcare, KQL, Microsoft Defender, Microsoft Sentinel, MITRE ATT&CK, Modbus, PB级数据处理, PE 加载器, SPL, Sysmon, UDM, Web报告查看器, Windows安全日志, YARA-L, 凭据攻击, 勒索软件, 医疗安全, 协议分析, 威胁检测, 安全运维, 数据渗出, 权限提升, 横向移动, 生产就绪, 编程规范, 网络安全, 脆弱性评估, 隐私保护