bay-ar4fah/Aradbase-sigma

# Aradbase-Sigma -> Aradbase-Sigma Aradbase-Sigma 是一个包含基于行为 Sigma 规则的仓库，这些规则是从 Aradbase-YARA 恶意软件检测研究中开发的。 ## 目的 本项目旨在支持： - 恶意软件研究 - 威胁狩猎 - 检测工程 - SOC 监控 & SIEM 关联 - DFIR（数字取证与事件响应） - 教育用途 规则的覆盖范围会随着威胁环境和检测研究的发展而演变。 ## 范围 本仓库中的规则主要针对以下目标： - 恶意软件行为 - 持久化技术 - 命令与控制（C2）活动 - 凭据访问 - 横向移动 - 勒索软件行为 - 可疑和异常活动 ## 与 Aradbase-YARA 的关系 Aradbase-Sigma 通过将恶意软件研究和静态检测概念从 **Aradbase-YARA** 转换为基于行为的 Sigma 检测，扩展了 Aradbase 检测研究生态系统。 这使 SIEM 和基于日志的检测环境具有更广泛的可见性。 ## 仓库结构 仓库规则使用以下层次结构组织： ``` Malware Category └── Malware Type └── Malware Family └── Detection Rule ``` ## 免责声明 本仓库仅用于 **研究和防御目的**。 检测准确性不保证。用户应在自己的环境和 SIEM 实现中验证规则。 ## 贡献 欢迎贡献。请确保规则： - 相关且经过测试 - 写作清晰 - 噪音低 / 误报率低（尽力而为） - 当适用时进行适当记录 ## 许可证 指定您首选的许可证（例如，MIT / Apache 2.0）。

标签：Apache 2.0许可, DNS信息、DNS暴力破解, DNS解析, MIT许可, pdftotext, SIEM关联, Sigma规则, YARA规则, 凭证访问, 勒索软件, 可疑活动, 命令与控制, 威胁情报, 安全运营中心, 开发者工具, 开源项目, 异常活动, 恶意行为, 恶意软件研究, 持久化技术, 教育用途, 数字取证与事件响应, 日志审计, 横向移动, 目标导入, 社区贡献, 编程规范, 网络映射, 自定义DNS解析器, 逆向工具