don8484/detection-rules

## 检测规则 基于MITRE ATT&CK的检测规则和SIEM配置，用于SOC操作和威胁狩猎。 ## 内容 ### Sigma规则 (`/sigma-rules`) Sigma格式的跨平台检测规则。兼容Splunk、Wazuh、Elastic和其他SIEM。 **当前覆盖范围：** - 执行 (T1059: 命令和脚本解释器) - 防御规避 (T1218: 系统二进制代理执行) ### Wazuh规则 (`/wazuh-rules`) 用于Windows事件日志检测和SOC警报的原生Wazuh XML规则。 **规则ID：** 100001-100999 (自定义规则) ### Sysmon配置 (`/sysmon-configs`) Sysmon事件过滤配置，用于启用详细遥测捕获以支持检测规则。 ## 快速开始 1. **对于Sigma：** 使用[Sigma CLI](https://github.com/SigmaHQ/sigma-cli)将其转换为您的SIEM 2. **对于Wazuh：** 将XML文件复制到`/var/ossec/etc/rules/local_rules/` 3. **对于Sysmon：** 将配置应用到Windows端点 ## 检测覆盖范围 | 战术 | 技巧 | 状态 | |------|------|------| | 执行 | T1059, T1218 | ✓ 完成 | | 防御规避 | T1218 | ✓ 完成 | | 持久性 | 待定 | 计划中 | | 提权 | 待定 | 计划中 | ## 验证 每个规则包括： - MITRE ATT&CK映射 - 假阳性文档 - 检测逻辑说明 ## 作者 Donovan Marshall | 北卡罗来纳州福布斯堡 ## 参考资料 - [MITRE ATT&CK框架](https://attack.mitre.org) - [Sigma规则规范](https://github.com/SigmaHQ/sigma/wiki) - [Wazuh文档](https://documentation.wazuh.com)

标签：AMSI绕过, Cloudflare, Conpot, MITRE ATT&CK, SIEM配置, Sigma规则, Sysmon, Wazuh, Windows安全, 事件过滤, 协议分析, 威胁检测, 安全信息管理, 安全响应, 安全运营, 扫描框架, 攻击技术, 日志审计, 权限提升, 目标导入, 知识库安全, 私有化部署, 规则管理, 逆向工具, 防御规避