IgnacioSol/sigma-detection-rules
GitHub: IgnacioSol/sigma-detection-rules
面向 SOC Tier 1 分析师的 Sigma 检测规则作品集,覆盖常见 MITRE ATT&CK 攻击技术,每条规则配有检测原理和误报分析文档。
Stars: 0 | Forks: 0
# sigma-detection-rules
用于 SOC Tier 1 运营中常见 MITRE ATT&CK 技术的 Sigma 检测规则。
每个规则包含:
- 经过验证的 `.yml` Sigma 规则
- 解释攻击、检测原理和误报分析的文档
本项目是我在学习准备 SOC Analyst 岗位时构建的实战型作品集项目。
## 规则
| 技术 | 标题 | 严重性 | 规则 | 文档 |
|---|---|---|---|---|
| T1003.001 | LSASS 内存访问 | 高 | [规则](rules/T1003.001_lsass_memory_access.yml) | [文档](docs/T1003.001_lsass_memory_access.md) |
| T1059.001 | 恶意 PowerShell 执行 | 高 | 即将推出 | 即将推出 |
| T1547.001 | 通过 Registry Run Keys 实现持久化 | 中 | 即将推出 | 即将推出 |
| T1021.001 | 通过 RDP 横向移动 | 中 | 即将推出 | 即将推出 |
## 仓库结构
```
sigma-detection-rules/
├── rules/ # Sigma YAML rules
└── docs/ # Detection rationale and false positive analysis per rule
```
## 工具与参考
- [Sigma 项目](https://github.com/SigmaHQ/sigma)
- [MITRE ATT&CK](https://attack.mitre.org)
- [Sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)
标签:Cloudflare, MITRE ATT&CK, OpenCanary, Sigma规则, SOC分析, 安全运营, 扫描框架, 目标导入