bvlik/sigma-rule-pack

GitHub: bvlik/sigma-rule-pack

一个精选的 Sigma 威胁检测规则包，附带 sigma-lint 校验器，确保每条规则在 CI 中格式正确且可直接导入 SIEM 平台。

Stars: 0 | Forks: 0

# 📐 sigma-rule-pack **一个精选的 [Sigma](https://github.com/SigmaHQ/sigma) 检测规则包 —— 附带专属验证器。** 适用于 Windows、Linux 和 AWS CloudTrail 的通用、供应商中立的检测规则，每一条都映射到 MITRE ATT&CK，此外还包含 `sigma-lint`：一个轻量级依赖检查器，可确保每一条规则在 CI 中格式正确。 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/32b5e3eb87012601.svg)](https://github.com/bvlik/sigma-rule-pack/actions/workflows/ci.yml) [![License](https://img.shields.io/badge/License-MIT-green.svg)](LICENSE) ![Python](https://img.shields.io/badge/Python-3.10+-0A1929?style=for-the-badge&logo=python&logoColor=12ABDB) ![Sigma](https://img.shields.io/badge/Format-Sigma-0070AD?style=for-the-badge)

## 为什么检测内容会悄无声息地失效：`condition` 中的拼写错误、重复的 `id` 或缺失的 `logsource`，只有在规则无法在你的 SIEM 中加载时才会显现出来。本仓库将一组手写的规则与一个 linter 结合使用，从而使该规则包在每次提交时都能保持有效 —— 同一个 `sigma-lint` 步骤会在 CI 中针对 `rules/` 运行。 ## 规则涵盖 Windows、Linux 和 AWS CloudTrail 的 **16 条规则**，每一条都映射到 MITRE ATT&CK。 | 平台 | 规则 | ATT&CK | 等级 | |----------|------|--------|-------| | Windows | 通过 `comsvcs.dll` MiniDump 转储 LSASS | T1003.001 | High | | Windows | 编码的 PowerShell 命令 | T1059.001 | Medium | | Windows | 注册表 Run 键持久化 | T1547.001 | Medium | | Windows | 删除卷影副本 | T1490 | High | | Windows | PsExec 服务安装 | T1569.002 | Medium | | Windows | `whoami` 账户发现 | T1033 | Low | | Linux | Bash `/dev/tcp` 反向 shell | T1059.004 | High | | Linux | 远程脚本通过管道传递给 shell（`curl|bash`） | T1059.004 | High | | Linux | SSH 密码暴力破解 | T1110 | Medium | | Linux | Cron 任务持久化 | T1053.003 | Medium | | Linux | 篡改 Shell 历史记录 | T1070.003 | Medium | | AWS | 禁用 CloudTrail 日志记录 | T1562.008 | High | | AWS | 禁用 GuardDuty | T1562.008 | High | | AWS | Root 账户控制台登录 | T1078.004 | High | | AWS | IAM 后门用户 / 访问密钥 | T1136.003 | Medium | | AWS | 安全组开放至 `0.0.0.0/0` | T1562.007 | Medium | ``` python -m sigmalint --stats rules/ # counts by level / platform ``` ## sigma-lint ``` pip install -r requirements.txt # 验证整个 pack（递归 *.yml / *.yaml） python -m sigmalint rules/ # 或者单个文件 / 你自己的目录 python -m sigmalint rules/cloud/aws_root_console_login.yml ``` 每一条规则都会接受以下检查： - 非空的 `title`（在整个规则包中唯一）且具有有效的 UUID `id`（在整个规则包中唯一）； - 允许的 `level` 和 `status`； - 至少包含 product/service/category 之一的 `logsource`； - `detection` 块中的 `condition` 仅引用了存在的 selection （忽略 `|` 之后的聚合）； - **规则包质量门禁**：一个 `description`、一个 `author`、至少一个 `references` URL、一个 `YYYY/MM/DD` 格式的 `date`，以及格式正确的 `attack.tNNNN[.NNN]` ATT&CK 标签。发生任何错误时退出代码均为非零，因此可直接将其放入 pipeline 中。 ## 目录结构 ``` rules//.yml the detections src/sigmalint/validate.py pure validation logic (unit-tested) src/sigmalint/cli.py YAML loading + reporting + exit code ``` ## 路线图 - [x] 规则包质量门禁（描述/作者/引用/日期/ATT&CK 标签） - [x] 重复 ID **及** 标题检测，`--stats` 摘要 - [ ] 通过 `sigma` CLI 进行后端转换示例（Splunk SPL / Elastic） - [ ] 提供更多云平台覆盖（Azure 登录日志、GCP 审计日志） - [ ] 针对每个 logsource 的 `field`/修饰符完整性检查

标签：AMSI绕过, ATT&CK框架, AWS CloudTrail, OpenCanary, Sigma规则, 威胁检测, 安全, 目标导入, 超时处理, 逆向工具