Dhina88/Sigma-Rules-for-Detection-Engineering

GitHub: Dhina88/Sigma-Rules-for-Detection-Engineering

一个检测工程实践仓库,通过构建映射 MITRE ATT&CK 的 Sigma 规则并转换为多平台 SIEM 查询,帮助 SOC 分析师掌握完整的检测生命周期。

Stars: 0 | Forks: 0

# 用于检测工程的 Sigma 规则 # 检测工程作品集 – Sigma 规则与 SIEM 转换 此仓库记录了我通过创建 Sigma 规则和进行 SIEM 转换来实践和学习检测工程概念的过程。 该项目侧重于基于映射到 MITRE ATT&CK 框架的真实攻击行为构建实用的检测机制。我开发了涵盖进程创建、网络活动、注册表更改、文件操作和身份验证事件的 Sigma 规则,随后将它们转换为 Splunk、Elastic 和 Microsoft Sentinel 格式,以了解不同平台上的检测实施方式。 该项目的目的不仅在于编写检测规则,还在于理解完整的检测生命周期——从识别攻击者技术、分析日志、创建检测逻辑、减少误报,到使检测在 SOC 环境中具备实战价值。 此仓库包含: * 按 MITRE ATT&CK 战术组织的 Sigma 检测规则 * Splunk、Elastic 和 Microsoft Sentinel 查询转换 * 检测原理和工程决策 * 误报分析和调优考量 * 真实世界的攻击技术映射 * 在整个学习过程中创建的笔记和文档 出于 SOC 分析师的背景,我构建该项目是为了加深对检测工程的理解,并从告警调查迈向设计具备可扩展性、可维护性且面向生产环境的检测机制。 这是一个持续进行的项目,未来将继续扩展更多的 ATT&CK 技术、检测改进、测试方法论和自动化内容。
标签:Sigma规则, 子域枚举, 安全运营, 扫描框架, 目标导入