kramnoic/detection-rules

# detection-rules 为 SOC 监控和威胁狩猎精心策划的、**供应商中立的检测内容**， 基于实际的分流和事件响应工作编写，并映射到 [MITRE ATT&CK](https://attack.mitre.org/)。规则采用开源的 [Sigma](https://github.com/SigmaHQ/sigma) 格式编写（可跨 SIEM 移植），并提供适用于 Microsoft Sentinel / Defender XDR 的 开箱即用的 [KQL](https://learn.microsoft.com/azure/data-explorer/kusto/query/) 等效查询。 ## 为什么需要 检测规则会逐渐过时。将它们作为代码进行维护——版本化、可进行同行评审、带有 ATT&CK 标签—— 使得覆盖范围变得可衡量，并且漏洞清晰可见。这个仓库是我认为具有广泛实用价值的检测规则的一个小而不断增长的参考， 其中包含了关于意图、误报和调优的说明。 ## 布局 ``` rules/ Sigma rules (.yml) — portable detection logic kql/ KQL queries for Microsoft Sentinel / Defender XDR ``` ## 覆盖范围 | 检测 | ATT&CK | Sigma | KQL | |---|---|---|---| | 编码 / 混淆的 PowerShell 执行 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/), [T1027](https://attack.mitre.org/techniques/T1027/) | [✓](rules/win_encoded_powershell.yml) | [✓](kql/encoded_powershell.kql) | | 写入到 Web 可访问路径的 Web shell | [T1505.003](https://attack.mitre.org/techniques/T1505/003/) | [✓](rules/web_shell_dropped.yml) | — | ## 使用说明 - **Sigma →** 使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 转换为你的后端： `sigma convert -t rules/win_encoded_powershell.yml` - **KQL →** 粘贴到 Sentinel Analytics 规则或 Defender Advanced Hunting 查询中。 每个规则都列出了其**意图**、**已知误报**和**调优说明**—— 请将它们视为一个起点，并在触发警报之前针对您自己的环境进行基线测试。 ## 贡献 / 路线图 逐步添加检测规则——身份 (Entra) 异常、可疑的 OAuth 授权、 LOLBins 和云控制平面滥用是接下来的重点。欢迎提交 Issues 和 PR。 ## 许可证 [MIT](LICENSE) — 自由使用，感谢注明出处。

标签：DNS 反向解析, KQL, OpenCanary, Sigma规则, 安全, 目标导入, 超时处理