dragnet-dev/haul

# Dragnet Haul 由 [Dragnet](https://github.com/dragnet-dev/dragnet) 生成的检测规则和 IOC 源。 每 6 小时更新一次。可在 [dragnet.dev](https://dragnet.dev) 浏览。 ## 获取源 ### IOC 源（纯文本） | 源 | URL | |---|---| | 域名 | `raw.githubusercontent.com/dragnet-dev/haul/main/feeds/domains.txt` | | IP | `raw.githubusercontent.com/dragnet-dev/haul/main/feeds/ips.txt` | | SHA256 | `raw.githubusercontent.com/dragnet-dev/haul/main/feeds/sha256.txt` | | STIX 2.1 | `raw.githubusercontent.com/dragnet-dev/haul/main/feeds/stix/bundle.json` | ### 按平台划分的规则 ``` supply/rules/kql/ Microsoft Sentinel + MDE supply/rules/splunk/ Splunk SIEM supply/rules/elastic/ Elastic SIEM supply/rules/wazuh/ Wazuh supply/rules/sigma/ Sigma (universal) supply/rules/crowdstrike/ CrowdStrike NG-SIEM + Falcon IOC malware/rules/… Same layout for malware module ransomware/rules/… Same layout for ransomware module cve/rules/… Same layout for cve module ``` ### Microsoft Sentinel 将您的工作区直接连接到此仓库： ``` Sentinel → Content Hub → Repositories → Connect GitHub Repository: dragnet-dev/haul Directory: supply/rules/sentinel/ ``` ## 贡献事件 将一个 YAML 文件添加到相关模块的 `incidents/` 目录中并提交 PR。 有关格式和必填字段，请参阅 [schema 文档](https://github.com/dragnet-dev/dragnet)。 受信任的源会在 60 分钟内自动合并。其他源将进行人工审核。 ## 工作原理 同步工作流每 6 小时运行一次： 1. 从 [dragnet-dev/dragnet releases](https://github.com/dragnet-dev/dragnet/releases) 下载最新的 `dragnet` 二进制文件 2. 根据 schema 验证所有事件 YAML 文件 3. 从配置的情报源（OSV、OSSF、NVD、CISA、PolySwarm 等）拉取数据 4. 运行跨域丰富（将攻击者档案链接到事件） 5. 为所有后端生成检测规则和 STIX 2.1 导出 6. 提交更新的数据，并为新检测到的事件开启草稿 PR 引擎源码位于 [dragnet-dev/dragnet](https://github.com/dragnet-dev/dragnet)。

标签：CrowdStrike, CVE漏洞, DAST, Dragnet, Go语言工具, IOC特征, IP 地址批量处理, KQL, Microsoft Sentinel, Sigma规则, STIX 2.1, URL发现, Wazuh, YARA, 云资产可视化, 勒索软件, 威胁情报, 安全检测, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 目标导入, 网络安全, 隐私保护