Citedrelevance/breachspider-detection-rules

# OT 与 ICS 检测规则 精心整理的 Suricata 和 Snort 检测规则，专门针对工业控制系统和运营技术厂商产品中已知被利用或被列入 CISA 已知被利用漏洞目录的漏洞。规则按厂商进行分类组织，因此您可以只克隆实际正在运行设备的规则。这里的所有规则均可免费使用。 ## 仓库内容 本规则集特意将范围限定在工业厂商自身的产品、固件或协议栈中的漏洞：控制器、可编程逻辑控制器、远程终端单元、HMI、SCADA 或历史数据库软件包、楼宇或变电站自动化产品。通用的 IT 和捆绑的第三方组件漏洞（例如浏览器引擎、Linux 内核缺陷或共享 Web 库）被有意排除在外，即使工业厂商发布了受影响的组件也不例外。这样设计是为了让厂商文件夹呈现出真正的 OT 情报价值，而不是重新包装的通用 CVE 数据。我们的目标是质量，而不是数量。 规则按厂商分组： - `rules/abb/` ABB - `rules/advantech/` Advantech - `rules/delta/` Delta - `rules/honeywell/` Honeywell - `rules/mitsubishi/` Mitsubishi - `rules/moxa/` Moxa - `rules/rockwell/` Rockwell Automation - `rules/schneider/` Schneider Electric - `rules/siemens/` Siemens - `rules/yokogawa/` Yokogawa 每个文件包含针对单个 CVE 的 Suricata 规则（如果存在差异，还会提供 Snort 规则），以及一个指向该漏洞完整公开情报的简短标头。 这些规则已通过自动化的 Suricata 解析进行了语法验证。这是我们对这些规则作出的唯一保证。它们属于补偿性控制措施，不能替代厂商补丁。在将规则应用于生产环境之前，请务必在隔离的测试环境中验证每一项规则。 ## 完整情报同样免费 对于本仓库中的每个 CVE，Sovereign AI Governance Engine (SAGE) 的完整分析报告均可在 breachspider.com 的公开 CVE 页面上免费获取，且无需注册。这包括 NERC CIP 和 IEC 62443 映射、受影响的组件、漏洞利用上下文，以及每条规则背后的虚拟补丁基本原理。您可以在此处搜索任何 CVE 或厂商： https://breachspider.com/search ## 如果您不想手动检查仓库 搜索和阅读针对特定 CVE 的情报现在且将始终保持免费。付费的 BreachSpider 平台（Standard 层级及以上）专为希望监控特定厂商和产品的工程师而设计，一旦其设备受到新漏洞影响并被利用，他们会立即收到告警，而无需克隆仓库并手动检查。这种持续监控和告警才是付费的真正价值所在。如果这符合您团队的工作方式，您可以在 breachspider.com 阅读更多信息。如果不符合，您仍然可以自由使用这里的规则和情报。 ## 安全提示 检测规则可能会产生误报，也可能遗漏一些变种。请将这里的所有内容视为您进行自身工程审查的起点。在隔离环境中进行测试，根据您的环境进行调整，并始终将补丁修复作为您的主要控制手段。

标签：CISA项目, Metaprompt, OT安全, PKINIT, Suricata, 入侵检测规则, 威胁情报, 工控安全, 开发者工具, 现代安全运营, 防御绕过