jy05un/detection_lab

GitHub: jy05un/detection_lab

将中文来源的公开威胁情报报道转化为可直接部署的 Sigma 检测规则和 Splunk SPL 查询,并维护中英文 APT 组织名称映射表的开源检测规则库。

Stars: 0 | Forks: 0

# Detection Lab — 威胁情报 → 检测规则 [![validate-sigma](https://static.pigsec.cn/wp-content/uploads/repos/cas/0e/0e85caebc49285ca860f9d852fb3026bf20ee2e15f245afb653f999590efb123.svg)](https://github.com/jy05un/detection_lab/actions/workflows/validate-sigma.yml) 每条记录都会提取一个真实且公开报道的攻击活动,并将其转化为 防御者可以直接部署的内容:一份情报摘要、一份 ATT&CK 映射、 一条厂商中立的 **Sigma** 规则、一条 **Splunk SPL** 翻译,以及客观的 调优 / 误报说明。 我会阅读中文报告(奇安信 RedDrip、360、安天、腾讯 安全等),将攻击者的中文名称映射为其西方/MITRE 名称,并发布 *检测规则*,而不仅仅是翻译。 ## 为什么创建此仓库 - **检测优先。** 每条记录都提供检测工件,而非新闻摘要。 - **获取源头信息。** 覆盖首发(或仅有)中文报道的攻击活动。 - **命名桥梁。** 维护一份中文名称与西方攻击者名称的映射表 (`naming-map.md`)。 - **可复现。** 基于技术的检测逻辑,您可以在自己的实验室中进行验证。 - **已验证。** 每条 Sigma 规则都会在 CI 中进行检查(见上方徽章)。 ## 目录结构 ``` detection_lab/ ├── README.md ├── LICENSE ├── naming-map.md # CN ↔ Western APT name mapping ├── .github/workflows/ # CI: Sigma rule validation ├── templates/ # reusable skeletons │ ├── post-template.md │ ├── sigma-template.yml │ └── splunk-template.spl ├── posts/ # blog writeups (EN / KO) └── detections/ └── YYYY-MM-DD--/ ├── README.md # writeup: intel → ATT&CK → detection → tuning ├── sigma/*.yml └── splunk/*.spl ``` ## 索引 | 日期 | 攻击者 (中文 / 西方) | 技术 | ATT&CK | 平台 | 分析文章 | |------|----------------------|-----------|--------|----------|---------| | 2026-07-04 | 蔓灵花 / BITTER (APT-Q-37) | on-host C# compile + InstallUtil LOLBin, Normal.dotm persistence | T1218.004, T1027.004, T1137.001 | Windows | [检测规则](detections/2026-07-04-bitter-installutil-lolbin/) · [EN](posts/2026-07-04-bitter-lolbin-en.md) · [KO](posts/2026-07-04-bitter-lolbin-ko.md) | ## 免责声明 此处所有内容均**仅基于公开来源**构建。本 仓库中的任何内容均非衍生自任何雇主或客户环境、遥测数据 或项目合作。提供的检测规则按原样用于研究和防御目的; 在依赖它们之前,请在您自己的环境中进行验证和调优。攻击者 归属反映了所引用的公开报道,且可能因厂商而异。 ## 许可证 代码(Sigma / SPL)基于 [MIT License](LICENSE) 发布。文字分析文章 基于 CC BY 4.0 共享。
标签:Sigma规则, URL发现, 威胁情报, 安全检测, 开发者工具, 目标导入, 防御加固