threatism/correlation-rules
GitHub: threatism/correlation-rules
一个社区驱动的 Sigma 格式多事件关联检测规则集合,专为威胁猎人和安全防御人员提供统一、可复用的关联检测规则。
Stars: 0 | Forks: 0
# 关联规则
这是一个由社区驱动的、使用 [Sigma](https://github.com/SigmaHQ/sigma) 格式编写的**多事件关联检测规则**集合 —— 专为威胁猎人、检测工程师和安全防御人员打造。
## 为什么创建此仓库
单事件检测规则随处可见 —— SigmaHQ、Elastic、Splunk ESCU 等都发布了成千上万条此类规则。但是,**关联逻辑**(例如:暴力破解*紧接着*登录成功、针对多个账户的密码喷射、短时间内爆发的侦察命令、横向移动链)通常散落各处,混杂在单事件规则中,并且以不兼容的、特定于后端的语法来表示。
本仓库只做一件事:仅收集**关联 / 多事件规则**,并采用统一一致的格式,使其易于查找、阅读、测试和重用。
## 范围
**包含范围内**
- 多事件关联规则:`event_count`、`value_count`、`temporal`、`temporal_ordered`(以及更新的聚合类型)。
- 关联*链*(一个关联规则作为另一个关联规则的输入)。
- 关联规则所引用的基础单事件规则 —— 但仅作为构建块,与使用它们的关联规则保存在同一个文件中。
**不包含范围内**
- 独立的单事件规则。(已经有许多优秀的仓库涵盖了这些内容。)
## 格式
所有规则均使用 **Sigma v2 关联格式**编写,这是权威标准。每个文件都是独立的:基础规则和关联块存放在一起,基础规则通过其 `name` 进行引用。
正在使用的关联类型:
| 类型 | 捕获内容 |
|------|-----------------|
| `event_count` | 同一规则在时间窗口内触发 N+ 次(例如:每个账户 10+ 次失败登录)。 |
| `value_count` | 某个字段出现 N+ 个不同的值(例如:同一来源对 10+ 个不同账户的登录失败)。 |
| `temporal` | 一组不同的规则在短时间内密集触发,无特定顺序。 |
| `temporal_ordered` | 一组不同的规则在短时间内按特定顺序触发。 |
## 仓库结构
```
correlation-rules/
├── rules/
│ ├── windows/ # Windows-based correlations
│ ├── linux/ # (coming)
│ └── cloud/ # (coming)
├── README.md
├── CONTRIBUTING.md
└── LICENSE
```
## 目前包含的内容
| 规则 | 类型 | 检测内容 |
|------|------|---------|
| `win_bruteforce_success` | 链 (`event_count` → `temporal_ordered`) | 同一账户在多次失败登录后紧接着登录成功。 |
| `win_password_spraying` | `value_count` | 同一来源尝试登录多个不同账户均告失败。 |
| `win_recon_command_burst` | `temporal` | 同一用户在短时间窗口内执行多个发现命令。 |
后续会更新更多内容 —— 欢迎贡献。
## 使用规则
这些是 Sigma 规则,因此您可以使用 [`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) / pySigma 将它们转换为您的 SIEM 的查询语言:
```
pip install sigma-cli
sigma plugin install splunk # or: elasticsearch, etc.
# 将 correlation rule 转换为 Splunk SPL
sigma convert -t splunk rules/windows/win_bruteforce_success.yml
```
## 许可证
规则基于 **[Detection Rule License (DRL)](https://github.com/SigmaHQ/Detection-Rule-License)** 发布 —— 详见 [LICENSE](LICENSE)。从其他来源移植规则时,请在规则元数据中保留原作者和来源信息,并确保源许可证兼容。
## 致谢
建立在 [SigmaHQ](https://github.com/SigmaHQ/sigma) 项目以及更广泛的检测工程社区的工作基础之上。如果规则改编自 Splunk Security Content、Elastic detection-rules 或其他来源,原作者的署名信息均记录在每条规则的 `references`/`author` 字段中。
标签:AMSI绕过, Reconnaissance, Sigma规则, 关联分析, 威胁检测, 安全, 目标导入, 红队行动, 超时处理