podesta724/detection-rules
GitHub: podesta724/detection-rules
一套映射到 MITRE ATT&CK 的 Splunk 和 Sigma 安全检测规则库,每条规则均基于 BOTS 真实攻击数据集测试并附带证据与响应指引。
Stars: 0 | Forks: 0
# detection-rules
映射到 MITRE ATT&CK 的 Splunk 和 Sigma 检测规则,已针对 BOTS 数据集进行测试
这些映射到 MITRE ATT&CK 的 Splunk SPL 和 Sigma 检测规则是基于 Splunk Boss of the SOC (BOTS) 攻击数据集构建并测试的。每条规则都附有其逻辑的通俗解释、来自真实攻击数据的真阳性证据、误报调优说明,以及为可能处理该告警的分析师提供的响应指导。
## 结构
```
rules/
└── /
└── /
├── rule.spl # Splunk SPL search
└── rule.yml # Sigma rule with ATT&CK mapping, evidence, and response guidance
```
## 检测索引
| 规则 | 战术 | 技术 | 数据集 | Sigma | SPL |
|------|--------|-----------|---------|-------|-----|
| 暴力破解 - 密码猜测 | 凭证访问 | T1110.001 | — | [rule.yml](rules/credential-access/brute-force-password-guessing/rule.yml) | [rule.spl](rules/credential-access/brute-force-password-guessing/rule.spl) |
| 暴力破解 - Web CMS 管理员登录 | 凭证访问 | T1110.001 | BOTSv1 | [rule.yml](rules/credential-access/brute-force-web-cms-admin/rule.yml) | [rule.spl](rules/credential-access/brute-force-web-cms-admin/rule.spl) |
| 网络服务扫描 - Web 漏洞扫描器 | 发现 | T1046 | BOTSv1 | [rule.yml](rules/discovery/network-service-scanning-suricata/rule.yml) | [rule.spl](rules/discovery/network-service-scanning-suricata/rule.spl) |
| Web Shell 访问 - CMS 核心路径外的 PHP 文件 | 持久化 | T1505.003 | BOTSv1 | [rule.yml](rules/persistence/web-shell-iis/rule.yml) | [rule.spl](rules/persistence/web-shell-iis/rule.spl) |
*状态:进行中*
标签:AMSI绕过, 威胁检测, 安全运营, 扫描框架, 插件系统, 红队行动