thabosakonta-wq/sigma-rule-collection

# Sigma 规则集合 一个网络安全检测工程项目，专注于为常见攻击技术和安全监控用例开发 Sigma 规则。 ## 概述 本代码库包含旨在识别安全运营中心 (SOC) 分析师通常遇到的 suspicious 和恶意活动的 Sigma 检测规则。 该项目通过将检测映射到 MITRE ATT&CK 技术并记录调查工作流，展示了实用的检测工程概念。 ## 目标 * 开发可重用的 Sigma 检测规则 * 将检测映射到 MITRE ATT&CK 技术 * 实践检测工程方法论 * 提升 SOC 调查能力 * 构建展示蓝队技能的网络安全作品集 ## 当前检测规则 ### 暴力破解检测 检测可能表明密码猜测攻击的过多身份验证失败。 MITRE ATT&CK： * T1110.001 – Password Guessing ### 权限提升检测 检测可疑的账户创建和权限提升活动。 MITRE ATT&CK： * T1068 – Exploitation for Privilege Escalation ## 使用的技术 * Sigma 规则 * MITRE ATT&CK 框架 * 检测工程 * 威胁狩猎 * 日志分析 * Git * GitHub ## 学习成果 本项目展示了： * 检测工程 * 安全监控 * 威胁狩猎 * ATT&CK 映射 * SOC 运营 * 事件调查 * 安全分析 Sigma-Rule-Collection/ ├── rules/ │ ├── brute_force.yml │ └── privilege_escalation.yml ├── reports/ │ └── sigma_mapping_report.txt ├── screenshots/ └── README.md ## 作品集价值 本项目展示了以下方面的实用技能： - 检测工程 - 威胁检测 - MITRE ATT&CK 映射 - 安全监控 - 威胁狩猎 - SOC 运营 - 事件调查 ## 未来增强 - Sysmon 规则 - Wazuh 规则 - Windows 事件映射 - ATT&CK Navigator 集成 ## 作者 Thabo Sakonta Microsoft 认证安全运营分析师 (SC-200)

标签：Cloudflare, MITRE ATT&CK, Sigma规则, SOC运营, Web报告查看器, 目标导入, 红队行动, 网络安全, 隐私保护