xrobotblackhat-web/Sigma-rules
GitHub: xrobotblackhat-web/Sigma-rules
按 MITRE ATT&CK 战术分类的 Sigma 检测规则与 YARA 文件集合,提供 3,700 余条可转换为多平台 SIEM 查询的威胁狩猎规则。
Stars: 0 | Forks: 0
# SigmaHQ 规则 — 按 MITRE ATT&CK 战术组织
来源:https://github.com/SigmaHQ/sigma (完整仓库,包含全部四个规则文件夹)
生成时间:2026-05-05
独立规则总数:3,731
此存档中的副本总数:6,043(带有多个战术标签的规则会在各战术中出现)
## 文件夹结构
文件夹带有杀伤链顺序前缀(01 → 15),以便列表能按
从侦察到影响的自然顺序排列:
```
01_reconnaissance/ 26 rules
02_resource-development/ 39
03_initial-access/ 343
04_execution/ 1037
05_persistence/ 851
06_privilege-escalation/ 755
07_defense-impairment/ 408
08_stealth/ 1085
09_credential-access/ 383
10_discovery/ 262
11_lateral-movement/ 164
12_collection/ 126
13_command-and-control/ 306
14_exfiltration/ 90
15_impact/ 166
00_untagged/ 2
```
## 关于 SigmaHQ 分类法的说明
SigmaHQ 将 MITRE 单一的“防御规避” (Defense Evasion) 战术拆分为了两个:
- defense-impairment — 关闭保护功能(篡改 Defender、清除日志等)
- stealth — 在不被发现的情况下运行(混淆、伪装、篡改时间戳等)
这两者结合在一起,涵盖了 MITRE 所说的防御规避 (Defense Evasion) (TA0005)。
## 多战术规则
Sigma 规则可以带有多个 `attack.` 标签。一个同时映射到
“execution”和“command-and-control”的规则会同时出现在这两个文件夹中(内容相同,
文件名相同)。这是有意为之的——这让你在浏览某个战术文件夹时,
能看到所有相关的检测,而不会漏掉带有跨标签的规则。
## 清单
`_manifest.csv` 列出了每个独立的规则,包含:
- 文件名
- 标题
- 严重级别
- 它标记的所有战术
- 它标记的所有技术
- 它来自的 SigmaHQ 源文件夹(rules / rules-emerging-threats / rules-threat-hunting / rules-compliance)
- 在 SigmaHQ 仓库中的原始路径
使用此 CSV 进行筛选或透视——例如,在 Excel 中打开并按
`tactics contains "credential-access"` 和 `level = critical` 进行筛选。
## 保留的源文件夹
每个规则的源文件夹都记录在清单中:
- rules/ — 主要的、经过验证的检测 (3,132)
- rules-threat-hunting/ — 更广泛、误报率较高的狩猎规则 (139)
- rules-emerging-threats/ — 特定于 TA、恶意软件或 CVE 的规则 (457)
- rules-compliance/ — 仅用于合规 (3)
## 将任何文件夹转换为你的 SIEM
```
# Logpoint
sigma convert -t logpoint -p logpoint_windows ./04_execution/
# Splunk
sigma convert -t splunk -p splunk_windows ./09_credential-access/
# Microsoft Sentinel / Defender
sigma convert -t microsoft365defender -p microsoft_xdr ./08_stealth/
# Elastic
sigma convert -t lucene -p ecs_windows ./03_initial-access/
```
## 许可证
Detection Rule License (DRL) 1.1 — 与上游 SigmaHQ 相同。
详见 https://github.com/SigmaHQ/Detection-Rule-License
标签:ATT&CK框架, Sigma规则, YARA, 云资产可视化, 子域枚举, 目标导入