Noreldin-S/detection-engineering
GitHub: Noreldin-S/detection-engineering
Noreldin-S/detection-engineering:基于Sigma规则的MITRE ATT&CK检测规则库。
Stars: 0 | Forks: 0
# 检测工程
[](https://github.com/Noreldin-S/detection-engineering/actions/workflows/sigma-lint.yml)
方法论笔记和示例 [Sigma](https://github.com/SigmaHQ/sigma) 检测规则,我在构建 **[Sablewatch](https://sablewatch.com)** ——一个自主的检测与响应(MDR)平台——并磨练我的检测工程实践时维护。
## 方法
好的检测是精确的、可解释的,并且与真实的对手行为相关联——而不是嘈杂的关键词警报。这里的每条规则都旨在:
- 针对 **特定的ATT&CK技术**,
- 保持逻辑 **紧凑** 以最小化误报,
- **记录** 所需的数据源及其调整方法。
## 规则
七个ATT&CK战术中的九条规则——完整的矩阵在 **[ATTACK-COVERAGE.md](ATTACK-COVERAGE.md)** 中。
| 规则 | 技术 | 战术 |
|------|-----------|--------|
| [过量的失败登录尝试](rules/credential-access/excessive-failed-logins.yml) | [T1110](https://attack.mitre.org/techniques/T1110/) — 强制破解 | 凭证访问 |
| [LSASS内存访问](rules/credential-access/lsass-memory-access.yml) | [T1003.001](https://attack.mitre.org/techniques/T1003/001/) — LSASS内存 | 凭证访问 |
| [Active Directory 重构](rules/discovery/active-directory-recon.yml) | [T1087.002](https://attack.mitre.org/techniques/T1087/002/) — 账户发现 | 发现 |
| [编码的PowerShell命令](rules/execution/powershell-encoded-command.yml) | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) — PowerShell | 执行 |
| [禁用Windows Defender](rules/defense-evasion/disable-windows-defender.yml) | [T1562.001](https://attack.mitre.org/techniques/T1562/001/) — 妨碍防御 | 防御规避 |
| [清除安全事件日志](rules/defense-evasion/windows-security-log-cleared.yml) | [T1070.001](https://attack.mitre.org/techniques/T1070/001/) — 清除Windows事件日志 | 防御规避 |
| [用户添加到管理员组](rules/persistence/user-added-to-admin-group.yml) | [T1098](https://attack.mitre.org/techniques/T1098/) — 账户操纵 | 持久性 |
| [创建计划任务](rules/persistence/scheduled-task-created.yml) | [T1053.005](https://attack.mitre.org/techniques/T1053/005/) — 计划任务 | 持久性 |
| [安装可疑服务](rules/lateral-movement/suspicious-service-installed.yml) | [T1543.003](https://attack.mitre.org/techniques/T1543/003/) — 创建/修改服务 | 横向移动 |
## 检测生命周期
1. **假设** —— 选择一个ATT&CK技术和会揭示它的遥测数据。
2. **逻辑** —— 编写最窄的规则,同时仍然捕获行为。
3. **测试** —— 对良性样本和恶意样本进行验证;调整以减少误报。
4. **记录** —— 记录数据源、假设和已知差距。
5. **维护** —— 随着环境和技术的演变而重新审视。
## 验证
每个规则都通过 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) (`sigma check`) 在CI中进行检查。自己运行它:
```
pip install sigma-cli
sigma check rules/
# 将规则转换为您的 SIEM(例如:Splunk)
sigma plugin install splunk
sigma convert -t splunk -p splunk_windows rules/execution/powershell-encoded-command.yml
```
由 **Noreldin Saad** 维护 · [Sablewatch](https://sablewatch.com) 的创始人兼安全工程师 · [LinkedIn](https://www.linkedin.com/in/noreldin-saad-835930108/)
标签:AMSI绕过, CIDR扫描, Cloudflare, DNS解析, MDR 平台, MITRE ATT&CK, OpenCanary, PB级数据处理, RFI远程文件包含, Sigma 规则, Windows 安全, 凭证访问, 域名分析, 威胁检测, 子域名暴力破解, 安全事件响应, 安全日志, 安全运维, 实践案例, 开源项目, 恶意行为检测, 执行, 技术分享, 攻击技术, 社区贡献, 私有化部署, 脚本语言, 自主防御, 自动化检测, 行动学习, 规则开发, 账户发现, 逆向工具, 防御规避