dragnet-dev/haul-rules
GitHub: dragnet-dev/haul-rules
这是一个自动生成的检测规则仓库,将威胁情报转化为多种SIEM可部署的规则文件。
Stars: 0 | Forks: 0
# haul规则
由[Dragnet](https://github.com/dragnet-dev/dragnet)生成的编译后检测规则
并每6小时推送至此处。
此仓库是[`dragnet-dev/haul`](https://github.com/dragnet-dev/haul)的一个**派生**——它本身没有引擎。haul工作流运行同步+生成操作,然后将编译后的规则推送到此处,同时将底层事件数据推送到`haul`本身。
## 布局
```
{module}/rules/
├── sigma/{layer}/{year}/dragnet-{module}-{year}-{seq}-{layer}-*.yaml
├── chronicle/... # compiled YARA-L
├── crowdstrike/... # LogScale + Falcon IOC
├── datadog/... # Datadog detection rules
├── elastic/... # Elastic detection JSON
├── kql/... # Microsoft Sentinel KQL
├── qradar/... # IBM QRadar AQL
├── sentinel/... # Sentinel templates
├── snort/... # Snort rules
├── splunk/... # Splunk SPL
├── suricata/... # Suricata rules
└── wazuh/... # Wazuh rules
```
模块:`supply`、`malware`、`ransomware`、`cve`、`container`。
## 使用规则
稳定的原始URL——每个规则文件都位于规范路径:
```
https://raw.githubusercontent.com/dragnet-dev/haul-rules/main/{module}/rules/sigma/{layer}/{year}/{file}.yaml
https://raw.githubusercontent.com/dragnet-dev/haul-rules/main/{module}/rules/splunk/{layer}/{year}/{file}.spl
```
要获取跨所有仓库的端到端清单,请获取haul中的编排器文件:
```
https://raw.githubusercontent.com/dragnet-dev/haul/main/index.json
https://raw.githubusercontent.com/dragnet-dev/haul/main/feeds/manifest.json
```
清单列出了每个文件(包括此仓库中的文件),并带有用于缓存失效的sha256和字节计数。
### Microsoft Sentinel
将Content Hub指向此仓库(`dragnet-dev/haul-rules`)。检测规则仅在规则实际发生变化时才重新部署——不再因每6小时的情报更新而产生重新部署的开销。
### Splunk / Elastic / Chronicle / QRadar / Datadog / Wazuh / Snort / Suricata
克隆此仓库或通过原始URL获取特定规则文件。每个文件名编码了模块、层、年份和一个规范的顺序ID。Sigma源在其描述中包含完整的事件上下文;编译后的形式保留了相关的子集。
## 链接回事件
每条规则通过这一行引用其来源事件:
```
Incident: dragnet-{module}-{year}-{seq}
```
通过从haul获取来解析完整的事件元数据:
```
https://raw.githubusercontent.com/dragnet-dev/haul/main/{module}/incidents/all/{shard}.jsonl
```
…或使用haul中的按包/按CVE查找进行索引访问。
## 更新频率
每6小时,由haul工作流驱动。推送为尽力而为:如果临时失败导致规则在一个周期内未落地,下一个周期会重新推送当前状态。情报(位于haul中)是事实来源——如果haul有一个事件,其规则将在一个周期内落地至此处。
## 问题与贡献
此仓库是自动生成的。**请勿直接对规则文件提交PR**——它们会在下次同步时被覆盖。相反:
- 生成的规则有Bug?在[`dragnet`](https://github.com/dragnet-dev/dragnet)(引擎)中开启一个issue。
- 想要新的检测?向[`haul`](https://github.com/dragnet-dev/haul)添加一个事件YAML,引擎会生成规则。
- 想要新的后端(不同的SIEM)?在`dragnet`中开启一个功能请求。
## 许可证
与Dragnet生态系统其余部分相同的许可证——参见`LICENSE`。
标签:AMSI绕过, CrowdStrike, Datadog, Elastic集成, IBM QRadar, Metaprompt, Microsoft Sentinel, SIEM系统, Sigma规则, Snort规则, Splunk集成, Suricata规则, Wazuh规则, Web截图, YARA-L, 云安全, 云计算, 勒索软件防护, 多后端支持, 威胁检测, 安全情报, 容器安全, 目标导入, 结构化查询, 网络安全, 自动化安全, 规则引擎, 规则编译, 隐私保护