aruser2212/attck-top10-crosslayer-detections

# ATT&CK 跨层检测 Top-10 [](https://github.com/aruser2212/attck-top10-crosslayer-detections/actions/workflows/validate.yml) SIEM 无关的组合项目，用于分析 **MITRE ATT&CK Top-10 战术技术与流程 (TTPs)** 并构建跨多层的检测工件：**Sigma**、**Suricata/Snort**、**YARA**、中立的 **Hunt DSL** 以及未来的 SIEM 特定查询。 核心理念很简单：先保持检测逻辑可移植，然后在 `queries//` 和 `profiles/` 中为具体平台添加适配器。 ## 当前覆盖范围 | 指标 | 数量 | |---|---:| | 技术 | 10 | | 检测卡 (DetCards) | 19 | | Sigma 规则 | 19 | | Hunt DSL 文件 | 22 | | 网络 / IDPS 规则 | 6 | | YARA 规则 | 2 | | 测试计划 | 10 | ## 仓库布局 ``` schema/ DetCard schema profiles/ field mappings and future platform profiles packs/ thematic detection packs techniques/ ATT&CK technique dossiers and artifacts docs/ methodology, coverage and validation notes tools/ repository validation utilities ``` ## 工件模型 每个检测都由一个 **DetCard** (`DET-*.yaml`) 描述，并关联到以下支持性工件： - `sigma/` — 主机检测逻辑 - `network/` — 相关的 Suricata/Snort 规则 - `yara/` — 相关的 AV/EDR/静态检测 - `hunts/` — 厂商中立的狩猎逻辑 - `queries/` — 可选的具体平台适配器 - `tests/` — 验证计划及未来数据集 ## 从这里开始 1. 阅读 [`docs/methodology.md`](docs/methodology.md)。 2. 打开 [`docs/coverage.md`](docs/coverage.md) 查看当前的 ATT&CK 覆盖表格。 3. 在 `techniques/` 下选择一项技术，并查看其 DetCards、Sigma 规则、狩猎逻辑和测试计划。 ## 备注 本仓库有意避免将核心检测逻辑绑定到单一 SIEM。平台特定版本可在不重写核心工件的情况下后续添加。 核心工件保持厂商中立，因此平台特定适配器是可选的。 ## 归属 MITRE ATT&CK® 和 ATT&CK® 是 MITRE Corporation 的注册商标。本项目与 MITRE 无关联且未获其背书。 本仓库中的技术描述是为检测工程实践编写的原创摘要。每项技术的官方定义在其技术档案中有引用。 ## 质量检查 仓库包含一个轻量级验证器，用于验证 DetCards、工件链接和 YAML 结构： ``` python tools/validate_repo.py ``` 同样的检查会在 GitHub Actions 的 push 和 pull request 事件中运行。 ## 项目状态 本仓库以 **v0.2 组合基线** 发布。包含所有 Top-10 技术的紧凑档案、跨层检测工件、DetCards 和仓库验证。 未来更新将专注于为 Elastic、Splunk 和 MaxPatrol 选择平台映射，然后是为实验室风格验证准备安全的合成数据集。详见 [`docs/roadmap.md`](docs/roadmap.md)。

标签：AMSI绕过, Cloudflare, DetCards, Hunt DSL, Metaprompt, MITRE ATT&CK, Suricata, URL发现, YARA, 主机检测, 云资产可视化, 威胁检测, 安全检测, 安全运营, 开源检测, 扫描框架, 检测即代码, 检测规则, 现代安全运营, 管理员页面发现, 网络检测, 网络资产发现, 跨层检测, 逆向工具