Dhina88/Sigma-Rules-for-Detection-Engineering
GitHub: Dhina88/Sigma-Rules-for-Detection-Engineering
一个检测工程实践仓库,通过构建映射 MITRE ATT&CK 的 Sigma 规则并转换为多平台 SIEM 查询,帮助 SOC 分析师掌握完整的检测生命周期。
Stars: 0 | Forks: 0
# 用于检测工程的 Sigma 规则
# 检测工程作品集 – Sigma 规则与 SIEM 转换
此仓库记录了我通过创建 Sigma 规则和进行 SIEM 转换来实践和学习检测工程概念的过程。
该项目侧重于基于映射到 MITRE ATT&CK 框架的真实攻击行为构建实用的检测机制。我开发了涵盖进程创建、网络活动、注册表更改、文件操作和身份验证事件的 Sigma 规则,随后将它们转换为 Splunk、Elastic 和 Microsoft Sentinel 格式,以了解不同平台上的检测实施方式。
该项目的目的不仅在于编写检测规则,还在于理解完整的检测生命周期——从识别攻击者技术、分析日志、创建检测逻辑、减少误报,到使检测在 SOC 环境中具备实战价值。
此仓库包含:
* 按 MITRE ATT&CK 战术组织的 Sigma 检测规则
* Splunk、Elastic 和 Microsoft Sentinel 查询转换
* 检测原理和工程决策
* 误报分析和调优考量
* 真实世界的攻击技术映射
* 在整个学习过程中创建的笔记和文档
出于 SOC 分析师的背景,我构建该项目是为了加深对检测工程的理解,并从告警调查迈向设计具备可扩展性、可维护性且面向生产环境的检测机制。
这是一个持续进行的项目,未来将继续扩展更多的 ATT&CK 技术、检测改进、测试方法论和自动化内容。
标签:Sigma规则, 子域枚举, 安全运营, 扫描框架, 目标导入