ayinkamiyeassia0-glitch/sigma-detection-pack

# Sigma Detection Pack 一套精心整理的 [Sigma](https://github.com/SigmaHQ/sigma) 检测规则，用于 常见的攻击者技术，按 MITRE ATT&CK 战术进行组织。Sigma 是 SIEM 检测的供应商中立标准 — 这些规则可以使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 转换为 Splunk、 Microsoft Sentinel、Elastic、QRadar 等。 每条规则都在 CI 中进行了结构验证，并映射到 MITRE ATT&CK。  ## 覆盖范围 **9 个 ATT&CK 战术共 13 条规则。** 完整的细分请参见 [`COVERAGE.md`](COVERAGE.md)（自动生成）。 | 战术 | 示例检测 | |--------|-------------------| | 初始访问 | 投递了高风险电子邮件附件 | | 执行 | Office 应用程序生成命令行；编码的 PowerShell | | 持久化 | 注册表 Run 键；可疑的计划任务 | | 防御规避 | 事件日志被清除；Defender 被禁用 | | 凭证访问 | 通过 comsvcs MiniDump 进行 LSASS 内存转储 | | 发现 | Active Directory 侦察命令 | | 横向移动 | PsExec 风格的服务创建 | | 命令与控制 | Certutil 远程文件下载 | | 数据外泄 | 可能的 DNS 隧道 | ## 仓库结构 ``` sigma-detection-pack/ ├── rules/ │ ├── initial-access/ │ ├── execution/ │ ├── persistence/ │ ├── defense-evasion/ │ ├── credential-access/ │ ├── discovery/ │ ├── lateral-movement/ │ └── exfiltration/ ├── tests/ │ ├── validate_rules.py # structural + uniqueness checks (CI gate) │ └── coverage_matrix.py # generates COVERAGE.md ├── .github/workflows/ # CI: validate on every push/PR └── COVERAGE.md # auto-generated ATT&CK coverage ``` ## 使用这些规则 **验证它们：** ``` pip install pyyaml python tests/validate_rules.py ``` 使用 sigma-cli **转换为您的 SIEM**： ``` pip install sigma-cli # Splunk sigma convert -t splunk rules/execution/encoded_powershell.yml # Microsoft Sentinel (KQL) sigma convert -t sentinel rules/credential-access/lsass_memory_dump.yml # Elastic (Lucene) sigma convert -t lucene rules/persistence/registry_run_key.yml ``` ## 设计说明 - **旨在捕捉信号，而非噪声。** 每条规则都包含一个 `falsepositives` 部分，并在有用的地方为已知良好的进程添加了过滤器。阈值（例如 DNS 查询量）是起点 — 请根据您环境的基线进行调整。 - **尽可能一条规则对应一项技术**，以保持检测的可读性并能清晰地映射到 ATT&CK。 - 所有规则均采用 **`status: experimental`** — 它们是为实验室/作品集环境编写的，在生产环境使用前，应根据您自己的数据进行验证。 ## 许可证 MIT — 请参见 [LICENSE](LICENSE)。 # sigma-detection-pack # sigma-detection-pack

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, PE 加载器, SIEM检测规则, 威胁检测, 子域名变形, 自动化CI, 逆向工具