Djaberi/sigma-detection-pack

# Sigma 检测包 这是一组精选的 [Sigma](https://github.com/SigmaHQ/sigma) 检测规则，用于 检测常见的攻击者技术，按 MITRE ATT&CK 战术进行组织。Sigma 是 SIEM 检测的通用标准 — 这些规则可以使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 转换为 Splunk、 Microsoft Sentinel、Elastic、QRadar 等格式。 每条规则都在 CI 中经过了结构性验证，并映射到了 MITRE ATT&CK。  ## 覆盖范围 **涵盖 9 个 ATT&CK 战术的 13 条规则。** 完整的细分说明请参阅 [`COVERAGE.md`](COVERAGE.md)（自动生成）。 | 战术 | 检测示例 | |--------|-------------------| | Initial Access | 投递了高风险电子邮件附件 | | Execution | Office 应用程序派生命令行工具；编码的 PowerShell | | Persistence | 注册表 Run 键；可疑的计划任务 | | Defense Evasion | 事件日志被清除；Defender 被禁用 | | Credential Access | 通过 comsvcs MiniDump 进行 LSASS 内存转储 | | Discovery | Active Directory 侦测命令 | | Lateral Movement | PsExec 风格的服务创建 | | Command & Control | Certutil 远程文件下载 | | Exfiltration | 疑似 DNS 隧道传输 | ## 仓库结构 ``` sigma-detection-pack/ ├── rules/ │ ├── initial-access/ │ ├── execution/ │ ├── persistence/ │ ├── defense-evasion/ │ ├── credential-access/ │ ├── discovery/ │ ├── lateral-movement/ │ └── exfiltration/ ├── tests/ │ ├── validate_rules.py # structural + uniqueness checks (CI gate) │ └── coverage_matrix.py # generates COVERAGE.md ├── .github/workflows/ # CI: validate on every push/PR └── COVERAGE.md # auto-generated ATT&CK coverage ``` ## 使用这些规则 **验证规则：** ``` pip install pyyaml python tests/validate_rules.py ``` 使用 sigma-cli **转换为你的 SIEM**： ``` pip install sigma-cli # Splunk sigma convert -t splunk rules/execution/encoded_powershell.yml # Microsoft Sentinel (KQL) sigma convert -t sentinel rules/credential-access/lsass_memory_dump.yml # Elastic (Lucene) sigma convert -t lucene rules/persistence/registry_run_key.yml ``` ## 设计说明 - **旨在捕获有效信号，而非噪音。** 每条规则都包含一个 `falsepositives` 部分， 并在有用的地方针对已知安全进程设置了过滤器。阈值（例如 DNS 查询量）仅作为参考起点 — 请根据你自身环境的基线进行调整。 - 尽可能做到**一条规则对应一种技术**，从而使检测规则保持良好的可读性， 并能清晰地映射到 ATT&CK。 - 所有规则均带有 **`status: experimental`** 标记 — 它们主要是为实验室或作品集 场景编写的，在生产环境使用前，应先针对你自己的数据进行验证。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

标签：AMSI绕过, PE 加载器, Reconnaissance, Sigma规则, 威胁检测, 安全运营, 扫描框架, 目标导入, 网络信息收集, 逆向工具