security-attack/Sigma_Rule_Mitre

GitHub: security-attack/Sigma_Rule_Mitre

一套由 AI 辅助构建、映射至 MITRE ATT&CK v16.1 的 699 条生产级 Sigma 检测规则包,面向多平台企业威胁检测场景。

Stars: 1 | Forks: 0

# NINJAS Sigma Rule Pack

NINJAS Sigma Rule Pack — Analyzed by NINJAS | MITRE ATT&CK v16.1

由 NINJAS 分析 · MITRE ATT&CK v16.1 · 699 条 Sigma 检测规则

ATT&CK v16.1 699 Rules NINJAS MIT License

生产就绪的 **Sigma** 检测规则,系统性地映射至 **MITRE ATT&CK Enterprise v16.1**,由 **AI 威胁检测**构建并**分析**。 每条规则均包含行为检测逻辑、误报指南、ATT&CK 标签,以及适用于 Windows、Linux、macOS、AWS、Azure、GCP 和容器的特定平台日志源。 ## 核心亮点 | 指标 | 数值 | |--------|------:| | Sigma 规则总数 | **699** | | ATT&CK 技术 / 子技术 | **656** | | 红队高级检测 | **43** | | 覆盖战术 | **14** | | ATT&CK 版本 | **v16.1** | ## 仓库结构 ``` sigma-rules-NINJAS/ ├── initial_access/ ├── execution/ ├── persistence/ ├── privilege_escalation/ ├── defense_evasion/ ├── credential_access/ ├── discovery/ ├── lateral_movement/ ├── collection/ ├── command_and_control/ ├── exfiltration/ ├── impact/ ├── reconnaissance/ ├── resource_development/ └── red_team_advanced/ ├── lolbins/ ├── process_injection/ ├── edr_evasion/ ├── container_escape/ ├── cloud_ttps/ ├── linux_kernel/ ├── active_directory/ ├── supply_chain/ ├── firmware/ └── fileless/ ``` ## 快速开始 ### 安装依赖 ``` pip install -r requirements.txt ``` ### 重新生成规则(可选) ``` python generate_sigma_rules.py ``` ### 使用 pySigma 转换 ``` pip install pysigma pySigma-backend-elasticsearch sigma convert -t esql -p ecs_windows sigma-rules-NINJAS/initial_access/ ``` ### 验证规则 ``` pip install pysigma sigma check sigma-rules-NINJAS/ ``` ## 支持的平台 - **Windows** — Security、Sysmon、PowerShell Operational - **Linux** — auditd、syslog、Sysmon for Linux - **Cloud** — AWS CloudTrail、Azure Activity、GCP Audit - **Containers** — Kubernetes 审计日志 ## 红队高级覆盖 针对现代对手攻击技术的高级检测: - LOLBins (certutil, mshta, rundll32, regsvr32, wmic, bitsadmin) - 进程注入 (进程镂空, 进程替身, 幽灵写入, 事务镂空) - EDR 规避 (直接系统调用, ntdll unhooking, PPL bypass) - 容器逃逸、云 IMDS 滥用、Active Directory 攻击 - 供应链、固件持久化、无文件恶意软件 ## 文档 完整的文档、战术分解和转换示例: ➡️ **[sigma-rules-NINJAS/README.md](sigma-rules-NINJAS/README.md)** ## 关于 NINJAS 此规则包由 **NINJAS 研究编写并分析** —— NINJAS 是一支专注于 MITRE ATT&CK 对齐检测内容、行为分析和企业级生产级 Sigma 规则的威胁检测工程团队,主要面向企业 SOC 和检测工程团队。 ## 许可证 MIT License — 请参阅 [sigma-rules-NINJAS/LICENSE](sigma-rules-NINJAS/LICENSE)。

Analyzed by NINJAS
NINJAS Sigma Rule Pack — Analyzed by NINJAS · MITRE ATT&CK v16.1

标签:AMSI绕过, ATT&CK框架, Sigma规则, 威胁检测, 安全运营, 扫描框架, 目标导入, 逆向工具