viriviola/Sigma-Rule-Generator

# Sigma 规则生成器      将威胁情报报告转换为生产就绪的 Sigma 检测规则、SOC 调查运行手册和 MITRE ATT&CK 覆盖率图。 该项目通过自动化从识别的攻击者技术中创建检测内容，弥合了 **威胁情报**、**检测工程**、**SOC 运营** 和 **对手分析** 之间的差距。 ## 概述 威胁报告通常包含有关攻击者策略、技术和程序（TTP）的宝贵信息，但将这些发现转化为可操作的检测通常是一个手动且耗时的过程。 该项目通过允许分析师定义从威胁报告中提取的技术来自动化该工作流程，并自动生成： * Sigma 检测规则 * SOC 调查运行手册 * MITRE ATT&CK 覆盖率可视化 结果是检测开发速度更快，运营准备度更高。 ## 解决的问题 | 传统工作流程 | 使用 Sigma 规则生成器 | | ----------------------------------- | -------------------------------- | | 手动编写 Sigma 规则 | 自动生成的 Sigma 规则 | | 创建分析师调查指南 | 自动生成的运行手册 | | 构建 MITRE 覆盖率文档 | 自动生成的 ATT&CK 图 | | 数小时重复性工作 | 几分钟的审查和验证 | 对于包含多个技术的威胁报告，该工具显着减少了将情报转化为运营所需的工作量。 ## 功能 ### Sigma 规则生成 根据以下内容自动生成与 Sigma 兼容的检测规则： * MITRE ATT&CK 技术ID * 检测逻辑 * 对手行为 * 命令行指标 生成的规则可以适应： * Splunk * Elastic Security * Microsoft Sentinel * QRadar * 其他 Sigma 兼容平台 ### SOC 运行手册生成 创建分析师准备好的调查指南，包括： * 告警描述 * 调查步骤 * 假阳性考虑 * 防御建议 这有助于 SOC 团队标准化事件响应程序。 ### MITRE ATT&CK 覆盖率映射 生成一个 HTML 可视化，显示： * 技术覆盖率 * ATT&CK 战术 * 检测映射 * 覆盖率统计 这提供了检测工程覆盖范围的快速概述。 ### 威胁情报运营化 将情报报告转换为： ``` Threat Report │ ▼ Technique Extraction │ ▼ Detection Content Generation │ ┌────┼────┐ ▼ ▼ ▼ Sigma SOC MITRE Rules Runbook Map ``` ## 项目结构 ``` sigma-rule-generator/ │ ├── generate.py │ ├── templates/ │ └── mitre_map.html │ ├── rules/ │ └── *.yml │ ├── output/ │ ├── soc_runbook.md │ └── mitre_map.html │ └── README.md ``` ### 文件描述 | 文件 | 目的 | | ------------------------ | ---------------------------------------- | | generate.py | 主要检测内容生成脚本 | | templates/mitre_map.html | MITRE ATT&CK 可视化模板 | | rules/ | 生成的 Sigma 检测规则 | | output/soc_runbook.md | 生成的分析师调查指南 | | output/mitre_map.html | 生成的 ATT&CK 覆盖率可视化 | | README.md | 项目文档 | ## 展示的技能 | 领域 | 展示的能力 | | --------------------- | ------------------------------------------- | | 威胁情报 | 从威胁报告中提取 TTP | | 检测工程 | 创建 Sigma 规则 | | MITRE ATT&CK | 技术映射和覆盖率分析 | | SOC 运营 | 调查运行手册生成 | | 对手分析 | 技术识别和分类 | | 安全自动化 | 自动化内容生成 | ## 安装 ### 先决条件 * Python 3.7 或更高版本 不需要第三方依赖项。 ### 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/sigma-rule-generator.git cd sigma-rule-generator ``` ## 使用 ### 第 1 步：定义技术 打开 `generate.py` 并编辑 `TECHNIQUES` 列表： ``` TECHNIQUES = [ { "name": "PowerShell with Encoded Commands", "mitre_id": "T1059.001", "tactic": "Execution", "what_to_detect": "powershell.exe with -EncodedCommand flag", "command": "powershell.exe -EncodedCommand " } ] ``` ### 第 2 步：生成检测内容 运行脚本： ``` python generate.py ``` ### 第 3 步：审查输出 生成的文件包括： ``` rules/ ├── rule_powershell.yml ├── rule_wmi.yml └── ... output/ ├── soc_runbook.md └── mitre_map.html ``` ## 输出文件 ### Sigma 检测规则 生成的 YAML 规则包含： * 检测逻辑 * 日志源信息 * ATT&CK 参考 * 严重级别 * 检测条件 示例： ``` title: Detection: PowerShell with Encoded Commands status: experimental description: Detects powershell.exe with -EncodedCommand flag level: high ``` ### SOC 调查运行手册 生成的运行手册提供： * 告警上下文 * 调查程序 * 验证步骤 * 假阳性指南 * 防御建议 ### MITRE ATT&CK 覆盖率图 生成的 HTML 仪表板显示： * 技术覆盖率 * ATT&CK 战术分解 * 检测映射 * 覆盖率指标 ## 示例技术 该项目目前支持以下技术： | 技术 | MITRE ID | 战术 | | --------------------------- | --------- | ---------------- | | PowerShell 编码命令 | T1059.001 | 执行 | | PowerShell 下载窝点 | T1059.001 | 执行 | | WMI 横向移动 | T1047 | 横向移动 | | WMI 事件订阅 | T1546.003 | 持久性 | | 定时任务 | T1053.005 | 持久性 | | BITSAdmin 下载 | T1197 | 防御规避 | | Rundll32 执行 | T1218.011 | 防御规避 | ## 仪表板预览 在此处添加截图： ```  ``` ## 未来增强 可能的改进包括： * 更多 Sigma 规则模板 * Elastic EQL 支持 * Splunk SPL 生成 * Sigma 规则验证管道 * MISP 集成 * STIX/TAXII 支持 * CI/CD 规则测试 * 自动化 ATT&CK 导航器导出 ## 学习成果 该项目展示了以下方面的实践经验： * 威胁情报分析 * 检测工程 * MITRE ATT&CK 框架 * SOC 运营 * 对手行为分析 * 安全自动化 ## 作者 **Alaka Parida** 构建以展示一个多学科网络安全角色的经验，结合： * 威胁情报 * 检测工程 * SOC 运营 * 对手分析 ## 许可证 该项目旨在用于教育、研究和作品集目的。

标签：Cloudflare, MITRE ATT&CK, Python 开发, Sigma 规则, SOC 运营, URL发现, 域名分析, 威胁情报, 安全检测, 安全运营, 开发者工具, 情报自动化, 扫描框架, 攻击者分析, 教育许可, 规则生成, 逆向工具