NoahPageIT/sigma-detections

# 🧩 Sigma 检测规则库  一个受版本控制的 **[Sigma](https://sigmahq.io/) 检测规则**库，专为 Windows Security 事件设计，已映射至 **MITRE ATT&CK** 并在 CI 中经过验证。检测即代码：规则保存在 Git 中，每一次更改都会自动检查，并且单个规则可以转换为 Splunk SPL、Microsoft Sentinel KQL、Elastic 等格式。 Sigma 是 SIEM 检测的通用标准 —— 一次编写，处处部署。 ## 为何要有这个项目 检测规则不应作为简单的点击操作局限在某个 SIEM 中。将它们作为代码进行管理，意味着它们是可审查、可测试、可在不同工具间移植且受版本控制的 —— 这就像软件开发一样严格。此仓库端到端地展示了这一工作流。 ## 规则 | 规则 | 事件 | 级别 | MITRE ATT&CK | |------|----------|-------|--------------| | 暴力破解 - 多次登录失败 | 4625 | high | T1110 | | 多次失败后登录成功 | 4625 -> 4624 | critical | T1110 / T1078 | | 创建本地用户账户 | 4720 | medium | T1136.001 | | 将成员添加到特权本地组 | 4732 / 4728 / 4756 | high | T1098 | | 安全审计日志被清除 | 1102 | critical | T1070.001 | | 账户被锁定 | 4740 | medium | T1110 | | 使用显式凭据登录 | 4648 | low | T1078 | | 分配了敏感权限 | 4672 | low | T1078.003 | ## 持续集成 每次 push 都会通过 GitHub Actions 运行 [`validate.py`](validate.py)。它会检查每个规则是否满足以下条件： - 包含所有必需的 Sigma 字段 - 具有有效的 `uuid4` `id` 且没有重复的 id/标题 - 具有被认可的 `status` 和 `level` - 具有指定的 `logsource` 和检测 `condition` - 至少包含一个 MITRE 技术标签 (`attack.tNNNN`) 格式不正确的规则会导致构建失败，因此损坏的检测规则永远不会被合并。 ``` pip install pyyaml python validate.py ``` ## 部署规则 使用官方的 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 将任意规则转换为你的 SIEM 查询语言： ``` pip install sigma-cli sigma convert -t splunk rules/windows_brute_force_logon.yml # -> SPL sigma convert -t kusto rules/windows_brute_force_logon.yml # -> Sentinel KQL ``` ## 关联项目 这些规则检测出的攻击，与我的 [Purple Team 检测实验室](https://github.com/NoahPageIT/purple-team-lab) 生成的攻击相同，并由 [Argus SIEM](https://github.com/NoahPageIT/argus-siem) 和 [Splunk SOC 实验室](https://github.com/NoahPageIT/splunk-soc-lab) 捕获。 *防御性检测工程。*

标签：Cloudflare, Conpot, GitHub Actions, MITRE ATT&CK, Reconnaissance, Sigma规则, URL发现, Windows安全, 代码化检测, 安全检测, 恶意代码分类, 目标导入, 自动笔记, 逆向工具