Dhina88/Detection-Engineering-with-Sigma-Rules

GitHub: Dhina88/Detection-Engineering-with-Sigma-Rules

一个检测工程学习与实践项目,通过编写 Sigma 规则并转换为多平台 SIEM 查询,系统化展示从攻击技术映射到检测落地的完整流程。

Stars: 0 | Forks: 0

# 检测工程作品集 – Sigma Rules 与 SIEM 转换 本仓库记录了我通过创建 Sigma rules 和进行 SIEM 转换,在实践中学习和落实检测工程(Detection Engineering)概念的过程。 该项目专注于构建基于映射到 MITRE ATT&CK 框架的真实攻击行为的实用检测。我开发了涵盖进程创建、网络活动、注册表更改、文件操作和身份验证事件的 Sigma rules(在 AI 的辅助下),然后将它们转换为 Splunk、Elastic 和 Microsoft Sentinel 格式,以了解不同 SIEM 平台之间检测的实现方式。 该项目的目标不仅是编写检测规则,还在于理解完整的检测生命周期(从识别攻击者技术、分析日志、创建检测逻辑、减少误报,到使检测在 SOC 环境中具备实际运维价值)。 本仓库包含: * 按 MITRE ATT&CK 战术组织的 Sigma 检测规则 * Splunk、Elastic 和 Microsoft Sentinel 查询转换(未来会添加更多) * 检测基本原理与工程决策 * 误报分析与调优注意事项 * 真实世界攻击技术映射 * 在整个学习过程中创建的笔记和文档 出于 SOC Analyst 的背景,我构建这个项目是为了加深对检测工程的理解,并从单纯的告警调查迈向设计具备可扩展性、可维护性且面向生产环境的检测。 这是一个持续进行的项目,未来将继续扩充更多的 ATT&CK 技术、检测改进、测试方法以及自动化内容。
标签:Microsoft Sentinel, Sigma规则, 目标导入