ocnu/detection-rules

// README.md # 检测规则 针对常见对手战术、技术和过程，由MITRE ATT&CK v19映射的Sigma检测规则， 由一位拥有6年进攻性网络作战经验、正在转型的CNO操作员编写。 ## 关于 这些规则基于对手运作方式的直接知识构建——而非出自教科书。每条规则都映射到威胁行为者剧本中观察到的真实技术，旨在通过sigma-cli转换后部署于企业SIEM环境中。 ## 覆盖范围 | 战术 | 规则数 | |-----------------------|-------| | 凭证访问 | 4 | | 持久化 | 4 | | 横向移动 | 3 | | 隐蔽行动 | 2 | | 防御削弱 | 2 | | 发现 | 2 | | 执行 | 1 | | 命令与控制 | 2 | | **总计** | **20**| ## 规则格式 所有规则均采用 [Sigma](https://github.com/SigmaHQ/sigma) 格式编写， 兼容MITRE ATT&CK v19。可使用sigma-cli转换至任何SIEM平台。 ## 认证资质 - GIAC认证事件处理专家（GCIH） - GIAC渗透测试工程师（GPEN） - CompTIA安全+ - AWS安全专项认证（进行中） ## 联系方式 作品集：ohstephen.com

标签：AMSI绕过, Cloudflare, CNO操作员, MITRE ATT&CK, PB级数据处理, Reconnaissance, SIEM集成, Sigma规则, 企业安全, 威胁情报, 威胁检测, 安全信息管理, 安全认证, 安全运维, 对手TTPs, 开发者工具, 目标导入, 网络安全, 网络资产管理, 速率限制, 隐私保护