jy05un/detection_lab
GitHub: jy05un/detection_lab
将中文来源的公开威胁情报报道转化为可直接部署的 Sigma 检测规则和 Splunk SPL 查询,并维护中英文 APT 组织名称映射表的开源检测规则库。
Stars: 0 | Forks: 0
# Detection Lab — 威胁情报 → 检测规则
[](https://github.com/jy05un/detection_lab/actions/workflows/validate-sigma.yml)
每条记录都会提取一个真实且公开报道的攻击活动,并将其转化为
防御者可以直接部署的内容:一份情报摘要、一份 ATT&CK 映射、
一条厂商中立的 **Sigma** 规则、一条 **Splunk SPL** 翻译,以及客观的
调优 / 误报说明。
我会阅读中文报告(奇安信 RedDrip、360、安天、腾讯
安全等),将攻击者的中文名称映射为其西方/MITRE 名称,并发布
*检测规则*,而不仅仅是翻译。
## 为什么创建此仓库
- **检测优先。** 每条记录都提供检测工件,而非新闻摘要。
- **获取源头信息。** 覆盖首发(或仅有)中文报道的攻击活动。
- **命名桥梁。** 维护一份中文名称与西方攻击者名称的映射表 (`naming-map.md`)。
- **可复现。** 基于技术的检测逻辑,您可以在自己的实验室中进行验证。
- **已验证。** 每条 Sigma 规则都会在 CI 中进行检查(见上方徽章)。
## 目录结构
```
detection_lab/
├── README.md
├── LICENSE
├── naming-map.md # CN ↔ Western APT name mapping
├── .github/workflows/ # CI: Sigma rule validation
├── templates/ # reusable skeletons
│ ├── post-template.md
│ ├── sigma-template.yml
│ └── splunk-template.spl
├── posts/ # blog writeups (EN / KO)
└── detections/
└── YYYY-MM-DD--/
├── README.md # writeup: intel → ATT&CK → detection → tuning
├── sigma/*.yml
└── splunk/*.spl
```
## 索引
| 日期 | 攻击者 (中文 / 西方) | 技术 | ATT&CK | 平台 | 分析文章 |
|------|----------------------|-----------|--------|----------|---------|
| 2026-07-04 | 蔓灵花 / BITTER (APT-Q-37) | on-host C# compile + InstallUtil LOLBin, Normal.dotm persistence | T1218.004, T1027.004, T1137.001 | Windows | [检测规则](detections/2026-07-04-bitter-installutil-lolbin/) · [EN](posts/2026-07-04-bitter-lolbin-en.md) · [KO](posts/2026-07-04-bitter-lolbin-ko.md) |
## 免责声明
此处所有内容均**仅基于公开来源**构建。本
仓库中的任何内容均非衍生自任何雇主或客户环境、遥测数据
或项目合作。提供的检测规则按原样用于研究和防御目的;
在依赖它们之前,请在您自己的环境中进行验证和调优。攻击者
归属反映了所引用的公开报道,且可能因厂商而异。
## 许可证
代码(Sigma / SPL)基于 [MIT License](LICENSE) 发布。文字分析文章
基于 CC BY 4.0 共享。
标签:Sigma规则, URL发现, 威胁情报, 安全检测, 开发者工具, 目标导入, 防御加固