AdamChokri/pinkhat-detections

# Pink Hat — 检测即代码   ## 为什么创建此项目 大多数检测规则库对端点、Windows 和云的覆盖很好 —— 但**临床协议是一个盲点。** DICOM、HL7 和 FHIR 承载着医院中最敏感的数据，然而针对这些协议滥用和 PHI 数据泄露的公开检测内容几乎不存在。此仓库发布了针对这些协议的**原创、映射 ATT&CK 的 Sigma 规则**，并已在真实的 Wazuh / OpenSearch 后端中完成验证，同时还有来自 Pink Hat 平台的端点检测和 ML 模型卡片。 ## 仓库结构 ``` pinkhat-detections/ ├── rules/ │ ├── healthcare/ # original DICOM / HL7 / FHIR detections — the rare part │ └── endpoint/ # endpoint detections re-authored from Wazuh as portable Sigma ├── ml-detections/ # model cards for the ML-based detections (LSTM/RL, Isolation Forest, RAG) ├── pipelines/ # optional pySigma conversion pipelines ├── docs/ │ └── attack-coverage.md # MITRE ATT&CK coverage matrix └── .github/workflows/ └── sigma.yml # CI — runs `sigma check` on every push ``` ## 已有内容 / 后续计划 | 领域 | 状态 | |---|---| | 仓库脚手架 + 许可证 + CI 工作流 | ✅ 已就绪 | | 端点检测（从 Wazuh 重新编写为 Sigma，并映射 ATT&CK） | 🔄 进行中 | | **原创 DICOM / HL7 / FHIR 检测** | 🔄 进行中（核心内容） | | ML 检测模型卡片 | ⏳ 计划中 | | ATT&CK 覆盖矩阵 | ⏳ 计划中 | ## 本地验证 每个规则都是标准的 Sigma YAML，可使用标准工具链进行验证： ``` pipx install sigma-cli sigma check ./rules ``` 每次推送时，CI 都会自动运行相同的检查（参见 `.github/workflows/sigma.yml`）。 将规则转换为后端查询（示例，OpenSearch / Wazuh indexer）： ``` sigma convert -t opensearch -p ecs_windows ./rules/endpoint/.yml ``` ## 约定 - 每个规则都包含真实的 `id:` (UUID)、已填写的 `author:` 字段，以及将其映射到一个或多个 **MITRE ATT&CK** 技术的 `tags:` 块。 - 医疗保健规则记录了它们检测到的协议行为以及用于测试它们的（合成的）遥测数据。 - 没有任何规则包含真实的 IP、主机名、凭据或 PHI —— 仅包含适合文档的占位符合成样本。 ## 相关内容 - 🏥 **平台概述：** [`pinkhat-soc`](https://github.com/AdamChokri/pinkhat-soc) — 架构、playbook 和自治 SOC agent - 🌐 **项目网站：** https://pinkhat-soc.netlify.app ## 许可证 本仓库中的检测规则基于 **[Detection Rule License (DRL) 1.1](./LICENSE)** 发布 —— 这与 SigmaHQ 用于其规则集的许可证相同。简而言之：可自由使用（包括商业用途），但**必须保留作者署名**，包括在任何显示规则匹配项的工具中。 *由 Adam Chokri 维护 — Network Infrastructure & Digital Security (NIDS), ESPRIT。*

标签：AMSI绕过, DICOM/HL7/FHIR, Sigma规则, 医疗安全, 威胁检测, 子域名变形, 数据泄露, 机器学习检测, 检测即代码, 目标导入, 端点安全, 补丁管理