Abbe11/sigma-detection-lab

# Sigma 检测实验室 一个检测工程作品集：包含映射到 MITRE ATT&CK 的自定义 Sigma 规则，每条规则都针对来自 [EVTX-ATTACK-SAMPLES](https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) 数据集的真实 Windows 攻击遥测数据进行了验证，并附带了一个用于针对每个样本测试每条规则的 Python 测试工具。 ## 工作流 对于每个检测，我会： 1. 选择一个 ATT&CK 技术并研究它是如何出现在 Windows / Sysmon 日志中的。 2. 编写一个供应商中立的 Sigma 规则 (`rules/`)。 3. 使用 `sigma check` 对其进行验证，并使用 `sigma convert` 将其转换为 Splunk 查询。 4. 针对真实的攻击捕获样本 (`samples/`) 测试检测逻辑，以确认它能被触发并在良性事件中保持安静。 5. 记录规则、验证结果和误报情况 (`docs/`)。 ## 检测项 | # | 技术 | 战术 | 严重性 | 规则 | |---|-----------|--------|----------|------| | 01 | [T1033](https://attack.mitre.org/techniques/T1033/) System Owner/User Discovery | Discovery | Low | `rules/whoami_discovery.yml` | | 02 | [T1003.001](https://attack.mitre.org/techniques/T1003/001/) LSASS Memory | Credential Access | High | `rules/lsass_credential_dump.yml` | | 03 | [T1059](https://attack.mitre.org/techniques/T1059/) Command and Scripting Interpreter | Execution | High | `rules/svchost_spawning_cmd.yml` | | 04 | [T1070.001](https://attack.mitre.org/techniques/T1070/001/) Clear Windows Event Logs | Defense Evasion | High | `rules/security_log_cleared.yml` | 每个检测项的详细说明都在 `docs/` 中。 ## 批量测试工具 `harness.py` 会加载所有检测项，扫描 `samples/` 中的每个 `.evtx` 样本，并在单个结果表中报告哪些检测项被触发。这将一组一次性的测试脚本变成了一个可重复使用的检测测试工具。 运行方式： ## 工具 - [sigma-cli](https://github.com/SigmaHQ/sigma-cli) / pySigma 用于规则验证和转换 - python-evtx 用于解析 EVTX 样本 ## 结构

标签：AMSI绕过, Reconnaissance, Sigma规则, 威胁检测, 安全, 安全运营, 扫描框架, 目标导入, 超时处理, 逆向工具