WiLL75G/sigma-detection-lab
GitHub: WiLL75G/sigma-detection-lab
一个记录 Sigma 检测规则真实实验室验证过程的作品集,强调每条规则在提交前都经过遥测数据验证。
Stars: 0 | Forks: 0
# Sigma 检测实验室
这是我向 [SigmaHQ](https://github.com/SigmaHQ/sigma) 提交的检测贡献的工作记录——**每一条规则在提交前都经过我自己实验室中真实遥测数据的验证。**
大多数检测规则往往是直接从博客文章中提取并未经测试就提交的。这里的所有内容都截然不同:我会在自己端点的实时日志中运行它,确认能够触发真阳性,分析其假阳性特征,然后才会向上游贡献。每个文件夹都是一个独立的案例研究,并附带相关的证据作为支撑。
## 实验室环境
| 组件 | 详情 |
|-----------|--------|
| SIEM | Splunk (macOS 主机) + Microsoft Sentinel (KQL) |
| 端点 | Windows 11 (`JAMES-VM`, 192.168.64.17), Ubuntu Server (`wazuh-manager`), Kali (`Attacker-Tier4`, 192.168.64.15) UTM 虚拟机 |
| 遥测数据 | Sysmon, Windows Security + PowerShell Script Block (4104), Linux auth.log, AMA → DCR |
| 验证 | 使用 `sigma-cli` 进行 schema/lint,针对每次贡献进行手动 TP/FP 测试 |
## 贡献索引
| # | 贡献 | 类型 | ATT&CK | 遥测数据 | 状态 | 证据 | 上游 |
|---|-------------|------|--------|-----------|--------|----------|----------|
| 1 | `posh_ps_create_local_user.yml` 遗漏的通过 ADSI/WinNT 创建本地用户 | 覆盖盲区 | T1136.001 | Win 4104 | 已报告 · 由社区修复 PR | [repo](https://github.com/WiLL75G/sigma-rule-validation-create-local-user) | [#6057](https://github.com/SigmaHQ/sigma/issues/6057) · [PR #6064](https://github.com/SigmaHQ/sigma/pull/6064) |
| 2 | 正常 Azure 流量触发的 PowerShell net-connection FP | 假阳性 | T1071.001 | Sysmon EID 3 | 已报告 | [repo](https://github.com/WiLL75G/soc-sigma-powershell-network-connection) | [#6056](https://github.com/SigmaHQ/sigma/issues/6056) |
| 3 | _下一条贡献…_ | | | | | | |
**状态说明:** `Draft` · `Tested`(已在实验室验证) · `Reported`(已提交 issue) · `PR Open` · `Merged` · `Needs revision`
**类型说明:** `New rule` · `Coverage gap`(现有规则遗漏了某种技术变体) · `False positive`(现有规则对良性活动发生误报)
## 每个文件夹的组织方式
```
/
├── README.md # the writeup what, why it matters, the engineering reasoning
├── results.md # lab evidence: TP proof, FP characterisation, sigma check output
├── rule.yml # the rule (new) OR the proposed fix (gap/FP)
└── test-logs/ # the actual events used to validate it
```
为每项新贡献复制匹配的 `_TEMPLATE-*` 文件夹。
## 为什么会有这个 repo
这是我向招聘人员和维护者展示的作品集。它不是一本记录“我做过这些事”的流水账,每个文件夹都在讲解检测方法并展示其背后的验证过程。状态列跟踪了真实的生命周期,包括修订和维护者的反馈,因为*经历*审查过程本身就是工程工作的一部分。
*William [作品集](https://will75g.github.io/-portfolio/) · [GitHub](https://github.com/WiLL75G) · [SigmaHQ 贡献](https://github.com/SigmaHQ/sigma/issues?q=author%3AWiLL75G)*
标签:Reconnaissance, 安全, 安全运营, 扫描框架, 检测规则, 网络资产发现, 超时处理