Rudraksh-Dixit/sigma-soc-rules

# Sigma SOC 规则 ## 这是什么？ 这是我编写、测试和调优的生产级 Sigma 检测规则集合。每条规则都针对特定的 MITRE ATT&CK 技术，包含了误报考量，并在实时的 Wazuh/ELK SOC 实验室中使用 Atomic Red Team 模拟进行了验证。 这不是 Sigma 公共仓库的复制粘贴。这里的每条规则都是通过分析真实的攻击者行为编写的——包括编码的 PowerShell、通过 procdump 进行的 LSASS 转储、利用 certutil 进行“离地攻击”、WMI 横向移动等等。 ## 规则索引 | # | 规则 | MITRE ATT&CK | 严重程度 | |---|------|-------------|----------| | 1 | [可疑的 PowerShell - 编码命令](./rules/windows/process_creation/susp_encoded_powershell.yml) | T1059.001 | 高 | | 2 | [通过 Procdump 访问 LSASS](./rules/windows/process_creation/susp_lsass_procdump.yml) | T1003.001 | 严重 | | 3 | [Certutil 下载](./rules/windows/process_creation/susp_certutil_download.yml) | T1105 | 高 | | 4 | [计划任务持久化](./rules/windows/process_creation/susp_schtasks_persistence.yml) | T1053.005 | 中 | | 5 | [注册表 Run 键修改](./rules/windows/registry/reg_run_key_persistence.yml) | T1547.001 | 高 | | 6 | [WMI 横向移动](./rules/windows/process_creation/susp_wmi_lateral.yml) | T1047 | 高 | | 7 | [PsExec 服务创建](./rules/windows/process_creation/susp_psexec_service.yml) | T1021.006 | 高 | | 8 | [BITSAdmin 下载](./rules/windows/process_creation/susp_bitsadmin_download.yml) | T1197 | 中 | | 9 | [MSHTA 可疑执行](./rules/windows/process_creation/susp_mshta_exec.yml) | T1218.005 | 高 | | 10 | [Rundll32 可疑调用](./rules/windows/process_creation/susp_rundll32_exec.yml) | T1218.011 | 高 | | 11 | [Net User 发现](./rules/windows/process_creation/susp_net_user_enum.yml) | T1087.001 | 低 | | 12 | [可疑服务安装](./rules/windows/process_creation/susp_service_install.yml) | T1543.003 | 高 | | 13 | [对可疑 TLD 的 DNS 查询](./rules/windows/network_connection/susp_dns_suspicious_tld.yml) | T1071.001 | 中 | | 14 | [非浏览器进程访问 443 端口](./rules/windows/network_connection/susp_nonbrowser_https.yml) | T1071.001 | 中 | | 15 | [在可疑位置修改文件](./rules/windows/file_event/susp_file_write_locations.yml) | T1105 | 中 | ## 检测工程方法论 此包中的每条规则都遵循一致的工作流程： ``` 1. TTP Research → 2. Rule Writing → 3. Test with Atomic Red Team → 4. Tune FP → 5. Document ``` ### 示例：可疑的 PowerShell 检测 **TTP 研究：** 攻击者通常使用 `powershell -enc ` 来执行 payload 而无需写入磁盘。APT29、FIN7 和勒索软件组织都使用了这项技术。 **规则逻辑：** 检测命令行中带有 `-enc`、`-encodedcommand` 或 `-e` 标志的 `powershell.exe` 或 `pwsh.exe` 进程。排除已知的管理脚本。 **测试：** 执行 `Invoke-AtomicTest T1059.001` 以在 Wazuh/ELK 中验证检测。 **FP（误报）调优：** 添加了对常见管理工具（PDQ、SCCM、Ansible）的例外处理，以减少噪音。 **结果：** 在模拟的企业环境中，100% 检测到了来自 Atomic Red Team 的编码 PowerShell 执行，误报率低于 5%。 ## 使用的技术栈 | 工具 | 我如何使用它 | |------|---------------| | **Sigma CLI** | 规则验证并转换为 SIEM 格式（Splunk、Elastic、Wazuh） | | **Wazuh** | 导入规则并从端点遥测数据中触发告警 | | **ELK Stack** | 可视化告警模式，调优规则逻辑 | | **Atomic Red Team** | 执行 20 多种攻击技术以验证规则覆盖率 | | **Sysmon** | 提供进程创建、网络和文件事件遥测数据 | ## 快速开始 ### 1. 克隆规则 ``` git clone https://github.com/rudraksh-dixit/sigma-soc-rules.git cd sigma-soc-rules ``` ### 2. 使用 Sigma CLI 进行验证 ``` pip install sigmatools sigma check rules/ # Validate all rules sigma convert -t splunk -p default rules/windows/process_creation/susp_encoded_powershell.yml ``` ### 3. 部署到您的 SIEM - **Wazuh：** 将规则复制到 `/var/ossec/etc/rules/` - **Splunk：** 使用转换后的 SPL 查询 - **ELK：** 使用转换后的 Elasticsearch 查询 ### 4. 使用 Atomic Red Team 进行测试 ``` Import-Module "C:\AtomicRedTeam\AtomicRedTeam.psd1" Invoke-AtomicTest T1059.001 -TestNumbers 1 ``` ## 验证结果 所有规则均在模拟的 AD 环境中针对 Atomic Red Team 技术进行了测试，该环境包含： - 3 个 Windows 端点（工作站、服务器、DC） - 每个端点上都安装了 Sysmon + Wazuh agent - 用于日志聚合的 ELK Stack - 用于 FP（误报）调优的干净流量基准 有关详细结果，请参阅 [tests/validation-results.md](./tests/validation-results.md)。 ## 为什么这个项目很重要 大多数安全专业的学生都会将“Sigma 规则”列为一项技能。这个仓库证明了我能够： - 编写真正能检测实际技术的规则，而不仅仅是模板规则 - 使用真实的攻击者模拟来测试和调优规则 - 像真正的 SOC 分析师一样处理误报 - 记录完整的检测工程工作流 这就是 SOC 分析师所做的工作。这个仓库就是证明。 ## 交流 - GitHub: [github.com/rudraksh-dixit](https://github.com/rudraksh-dixit) - LinkedIn: [linkedin.com/in/rudraksh-dixit](https://linkedin.com/in/rudraksh-dixit) - APT Hunter AI: [github.com/rudraksh-dixit/apt-hunter-ai](https://github.com/rudraksh-dixit/apt-hunter-ai)

标签：OpenCanary, Sigma规则, Wazuh, 安全运营, 扫描框架, 目标导入, 网络信息收集, 逆向工具