WRG-11/wrg-sigma-rules

# WRG Sigma 规则 — Anthropic Claude Code 插件 为使用 Claude Code 的 SOC 分析师、威胁情报团队和检测工程师提供生产级 Sigma 检测规则编写、验证与转换能力。 ## 快速概览 - **3 个 MCP 工具**：`draft_rule`（自然语言 → sigma YAML）+ `validate_rule`（pySigma + 最佳实践检查器）+ `convert_rule`（sigma → Splunk/Elastic/Wazuh/Kibana 查询） - **3 个 Claude Code 技能**：sigma-rule-writer + sigma-rule-reviewer + threat-coverage-gap-analyzer - **68 条生产级 sigma 规则库**：覆盖 11 个 ATT&CK 战术类别（模板 + 已观测活动规则） - **多后端转换**：已验证 Splunk SPL、Elastic Lucene、Wazuh、Kibana（基于 pySigma 1.x + 2 个后端包） - **WRG 生态系统锚点**：6 个月以上的威胁情报训练 + 100 多个攻击者 TTP 规则库 + observed_* 规则（Mini Shai-Hulud npm 蠕虫、Nx 活动四向量集群、SOCKS5 静默修复、ClawHavoc Claude Skills、Lazarus、LockBit、LAPSUS、AI 指纹） - **现场演示**：参见 [`DEMO.md`](DEMO.md) 中针对 Mini Shai-Hulud 规则的端到端工具调用（第 10 项证据；pySigma 1.x + Splunk + Elastic 实际输出） ## 为什么存在这个插件 Sigma 规则在 Anthropic Claude Code 插件市场中是一个**空白**（2026-05-23 验证：200 多个插件，0 个专注于 Sigma，1 个通用安全插件）。SOC 和威胁情报社区对与 LLM 工作流集成的快速、质量感知规则编写工具有潜在需求。 WRG（WinstonRedGuard）积累了 6 个月以上的威胁情报基础设施：68 条标准 Sigma 规则 + 攻击者目录 + pySigma 集成 + 基于模式的检测工程规范。该插件将这些能力打包提供给更广泛的 Anthropic 生态系统。 ## 包含内容 ### MCP 工具（3 个） - `wrg__sigma__draft_rule` — 自然语言描述 → sigma YAML 框架 - `wrg__sigma__validate_rule` — YAML 模式 + pySigma 兼容性 + 最佳实践检查器 - `wrg__sigma__convert_rule` — sigma → Splunk/Elastic/Wazuh/Kibana 查询 ### Claude Code 技能（3 个） - `sigma-rule-writer` — 引导式规则编写工作流 - `sigma-rule-reviewer` — 粘贴规则进行质量审查与改进建议 - `threat-coverage-gap-analyzer` — MITRE ATT&CK 覆盖度分析与现有规则库对比 ### Sigma 规则库（68 条覆盖 11 个 ATT&CK 战术类别的生产规则） | 战术 | 覆盖范围 | |---|---| | `credential_access` | 模板 + 已观测（LAPSUS T1110 相关、Kali365 OAuth 设备代码钓鱼 T1528、Mimikatz LSASS） | | `command_and_control` | 模板 T1071 + **已观测 Mini Shai-Hulud npm 供应链 C2 T1071**（Nx 活动集群） | | `defense_evasion` | 模板 + 已观测（AlphV T1027 混淆） | | `execution` | 模板 + 已观测（AlphV T1059.001） | | `exfiltration` | 模板 + **已观测 SOCKS5 主机名空字节出站 T1041**（Claude Code v2.0.24-v2.1.89 静默修复；+反斜杠扩展变体） | | `impact` | 模板 + 已观测（Lazarus + LockBit BTC + Nullsec Nigeria T1491 篡改） | | `initial_access` | 模板 + **已观测 Nx 活动四向量**（s1ngularity npm 令牌泄露、nx-console VS Code 扩展失陷、ClawHavoc Claude Skills T1195.002）+ LAPSUS T1078 + OWASP 实验室验证（SQLi 认证绕过、XSS 反射、路径遍历） | | `lateral_movement` | 模板（RDP EventID 4624 + SMB 管理共享） | | `resource_development` | 模板（新注册域名 + 相似域名 + 社交媒体注册） | | `collection` | 模板（归档工具暂存 + SharePoint 访问） | | `code_review` | 5 条 AI 指纹已观测规则（ANSI 颜色类、诱饵块、文档字符串密度、幻觉的 CVSS、提示词伪影） | 完整清单参见 [`resources/examples/INDEX.json`](resources/examples/INDEX.json)。 ### 资源 - `wrg-sigma://patterns/canonical-5` — 标准检测模式定义 - `wrg-sigma://coverage/mitre-attack-matrix` — 规则库覆盖状态 ## 安装 ### 通过 Anthropic Claude Code 社区市场（合入后） ``` /plugin install wrg-sigma-rules ``` ### 直接从本仓库 ``` git clone https://github.com/WRG-11/wrg-sigma-rules.git # 按照 https://code.claude.com/docs/en/plugins 上的 Claude Code 插件安装路径 ``` ## 质量规范 - **4 层自审计**：符合 WRG 审计方法论（信任但验证的自审计）；参见 [`.claude-plugin/AUDIT-SELF.md`](.claude-plugin/AUDIT-SELF.md) - **7 个 Python 测试模块**：覆盖规则验证 + 工具集成冒烟测试 - **pySigma 1.x 兼容** + 已验证多后端转换（`pysigma-backend-splunk` + `pysigma-backend-elasticsearch`） - **LLM 安全输出规范**：仅 ASCII 输出 + 错误路径结构保留 - **`claude plugin validate` 通过**（2026-05-25 在 Claude Code 2.1.149 合入后验证- **现场演示证据**：[`DEMO.md`](DEMO.md) — Mini Shai-Hulud 规则的 3 个真实工具调用（第 10 项） ## 已测试环境 - Windows 11 + Claude Code 2.1.149 - WSL2 Ubuntu 24.04 ## 参考资料 - [Anthropic Claude Code 插件市场](https://github.com/anthropics/claude-plugins-community) - [WRG 单一仓库](https://github.com/WRG-11/WinstonRedGuard) - 4 层自审计：[`.claude-plugin/AUDIT-SELF.md`](.claude-plugin/AUDIT-SELF.md) - 外部验证：[`.claude-plugin/AUDIT-VERIFY.md`](.claude-plugin/AUDIT-VERIFY.md) - 市场 PR 草稿：[`PR-DRAFT.md`](PR-DRAFT.md) ## 许可证 MIT — 参见 [`LICENSE`](LICENSE) 文件。

标签：AI辅助, AMSI绕过, Claude Code, Elasticsearch, MCP工具, MITRE, pySigma, Sigma规则, SOC分析, TTP, URL发现, Wazuh, YAML, 多后端转换, 威胁情报, 威胁检测, 威胁覆盖, 安全库, 安全检测, 安全运营, 开发者工具, 扫描框架, 数据展示, 最佳实践, 检测工程工作流, 检测规则, 目标导入, 红队, 网络资产发现, 规则编写, 规则转换, 规则验证, 越狱测试, 逆向工具