Peter-123-RAM/siem-detection-rules
GitHub: Peter-123-RAM/siem-detection-rules
基于 Sigma 规范的金融科技安全检测工程项目,针对凭据填充、Web Shell 和 OAuth 滥用等攻击行为提供经过验证的 SIEM 检测规则。
Stars: 0 | Forks: 0
# SIEM 检测工程项目
## 概述
一个模拟针对非洲金融科技环境的攻击者行为的检测工程项目。
## 已实现的检测
| 检测 | ATT&CK 技术 | 目的 |
|-|-|-|
| 凭据填充 | T1110.003 | 检测账户接管尝试 |
| Web Shell | T1505.003 | 检测服务器持久化 |
| OAuth 滥用 | T1098 | 检测身份入侵 |
## 测试
每条规则包括:
- 真正的攻击者模拟
- 良性测试用例
- 验证结果
- 生产环境调优说明
## 工具
- Sigma 检测逻辑
- MITRE ATT&CK 映射
- SIEM 检测工程原则
## AI 使用
AI 被用于改进文档结构、解释检测逻辑和审查清晰度。检测思路和验证方法由我开发。
## 验证证据
每个检测包括:
- Sigma YAML 规则
- 真正的攻击模拟
- 良性活动测试
- 预期的 SIEM 结果
- 生产环境调优说明
验证方法:
使用代表攻击者和正常用户行为的结构化 JSON 事件样本对规则进行了测试。
## 示例 Sigma 检测逻辑
凭据填充:
```
detection:
selection:
EventID: 4625
Status: "0xC000006A"
condition:
selection | count(distinct TargetUserName) > 10 by IpAddress
timeframe:
5m
## 检测执行证据
The detection rules were validated using a Python test harness that replayed malicious and benign security events.
Execution:
python tests/run_detection_tests.py
Expected Output:
Credential Stuffing TP:
True
Credential Stuffing FP:
False
Web Shell TP:
True
Web Shell FP:
False
OAuth TP:
True
OAuth FP:
False
The test confirms that each detection fires on attacker behaviour and remains quiet on benign activity.
```
标签:Python, Sigma规则, 子域枚举, 安全, 无后门, 目标导入, 超时处理, 逆向工具, 金融科技