DevSecLawrence/sigma-rules-collection

GitHub: DevSecLawrence/sigma-rules-collection

一套包含 MITRE ATT&CK 映射的 Sigma 威胁检测规则集合，已转换为 Splunk SPL 和 Elastic KQL 格式，帮助 SOC 分析师快速部署 SIEM 检测能力。

Stars: 0 | Forks: 0

# Sigma 规则集合 ![Sigma](https://img.shields.io/badge/Sigma-Detection_Rules-blue?style=flat) ![Splunk](https://img.shields.io/badge/Splunk-SPL-000000?style=flat&logo=splunk&logoColor=white) ![Elastic](https://img.shields.io/badge/Elastic-KQL-005571?style=flat&logo=elastic&logoColor=white) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=flat) 这是我 180 天 SOC 分析师路线图的一部分，其中包含了编写的原始 Sigma 检测规则。每个规则都包含检测逻辑、它映射的 ATT&CK 技术以及关于误报的说明。 Sigma 是一种用于 SIEM 系统的通用特征格式 —— 一次编写，即可转换为 Splunk SPL、Elastic KQL 或任何其他查询语言。这些规则是作为我路线图第 20-21 天的一部分进行编写、测试和转换的。 ## 规则 ### 可疑的 PowerShell 执行 **文件：** `suspicious_powershell.yml` **检测：** 使用编码命令或下载 cradles 启动的 PowerShell **MITRE：** T1059.001 — 命令和脚本解释器：PowerShell **误报：** 合法的 IT 管理员脚本、软件部署工具 ``` title: Suspicious PowerShell Execution status: experimental description: Detects PowerShell execution with encoded commands or download cradles logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - '-enc' - '-encodedcommand' - 'IEX' - 'DownloadString' - 'FromBase64String' condition: selection falsepositives: - Legitimate admin scripts using encoded commands - Software deployment tools level: medium tags: - attack.execution - attack.t1059.001 ``` ### 横向移动后的 Whoami 执行 **文件：** `whoami_recon.yml` **检测：** 运行的 whoami.exe — 攻击者在入侵后常见的侦察步骤 **MITRE：** T1033 — 系统所有者/用户发现 **误报：** IT 管理员脚本、登录脚本 ``` title: Whoami Execution status: experimental description: Detects execution of whoami — common post-exploitation recon logsource: category: process_creation product: windows detection: selection: Image|endswith: '\whoami.exe' condition: selection falsepositives: - Admin scripts - Login automation level: low tags: - attack.discovery - attack.t1033 ``` ### 创建了新的本地管理员账户 **文件：** `new_local_admin.yml` **检测：** 创建新的本地管理员账户 — 常见的权限维持技术 **MITRE：** T1136.001 — 创建账户：本地账户 **误报：** 合法的 IT 配置 ``` title: New Local Admin Account Created status: experimental description: Detects creation of a new local administrator account logsource: product: windows service: security detection: selection: EventID: 4720 filter: SubjectUserName|endswith: '$' condition: selection and not filter falsepositives: - Legitimate user provisioning by IT level: medium tags: - attack.persistence - attack.t1136.001 ``` ## 转换这些规则已使用 `sigma-cli` 转换为 Splunk SPL 和 Elastic KQL。转换后的查询位于 `converted/` 文件夹中。 ## 部分内容 [SOC 分析师之旅 — 180 天路线图](https://github.com/DevSecLawrence/soc-analyst-journey)

标签：AMSI绕过, IPv6, OpenCanary, PowerShell, Reconnaissance, Sigma规则, 威胁检测, 安全, 目标导入, 超时处理