abdalhadi12/SIEM_Detection_Rules

# 🔎 SIEM 检测规则 检测规则是任何 SOC 实时识别威胁能力的核心。 它们定义了将原始日志数据转化为可操作告警的逻辑—— 在每秒数千个事件中，将有意义的信号与噪音区分开来。 此仓库包含在真实 SOC 环境中构建和测试的检测规则， 按平台和日志源进行组织。 ### Microsoft Sentinel — 分析规则 Microsoft Sentinel 中的分析规则是基于 KQL 的计划查询， 针对摄入的日志数据运行，以检测可疑行为、策略违规和潜在威胁。 每条规则都定义了查询逻辑、触发条件、告警严重性以及映射的 MITRE ATT&CK 技术。 | # | 规则名称 | |---|-----------| | 01 | 分布式账户接管攻击 | | 02 | F5 WAF：单一源 IP 的密码重置尝试 | | 03 | 尝试重置用户密码的 IP 匹配到 IOC | | 04 | 检测到潜在的 DGA 攻击 | | 05 | TI 将 URL 实体映射到 DeviceProcessEvent | | 06 | WAF.F5ASM.001：服务器不可用错误 | ## 👤 作者 **Abdalhadi** — SOC 分析师 [GitHub](https://github.com/abdalhadi12)

标签：AMSI绕过, KQL, Microsoft Sentinel, 威胁检测, 安全运营, 扫描框架, 网络信息收集