xrobotblackhat-web/Sigma-rules

GitHub: xrobotblackhat-web/Sigma-rules

按 MITRE ATT&CK 战术分类的 Sigma 检测规则与 YARA 文件集合,提供 3,700 余条可转换为多平台 SIEM 查询的威胁狩猎规则。

Stars: 0 | Forks: 0

# SigmaHQ 规则 — 按 MITRE ATT&CK 战术组织 来源:https://github.com/SigmaHQ/sigma (完整仓库,包含全部四个规则文件夹) 生成时间:2026-05-05 独立规则总数:3,731 此存档中的副本总数:6,043(带有多个战术标签的规则会在各战术中出现) ## 文件夹结构 文件夹带有杀伤链顺序前缀(01 → 15),以便列表能按 从侦察到影响的自然顺序排列: ``` 01_reconnaissance/ 26 rules 02_resource-development/ 39 03_initial-access/ 343 04_execution/ 1037 05_persistence/ 851 06_privilege-escalation/ 755 07_defense-impairment/ 408 08_stealth/ 1085 09_credential-access/ 383 10_discovery/ 262 11_lateral-movement/ 164 12_collection/ 126 13_command-and-control/ 306 14_exfiltration/ 90 15_impact/ 166 00_untagged/ 2 ``` ## 关于 SigmaHQ 分类法的说明 SigmaHQ 将 MITRE 单一的“防御规避” (Defense Evasion) 战术拆分为了两个: - defense-impairment — 关闭保护功能(篡改 Defender、清除日志等) - stealth — 在不被发现的情况下运行(混淆、伪装、篡改时间戳等) 这两者结合在一起,涵盖了 MITRE 所说的防御规避 (Defense Evasion) (TA0005)。 ## 多战术规则 Sigma 规则可以带有多个 `attack.` 标签。一个同时映射到 “execution”和“command-and-control”的规则会同时出现在这两个文件夹中(内容相同, 文件名相同)。这是有意为之的——这让你在浏览某个战术文件夹时, 能看到所有相关的检测,而不会漏掉带有跨标签的规则。 ## 清单 `_manifest.csv` 列出了每个独立的规则,包含: - 文件名 - 标题 - 严重级别 - 它标记的所有战术 - 它标记的所有技术 - 它来自的 SigmaHQ 源文件夹(rules / rules-emerging-threats / rules-threat-hunting / rules-compliance) - 在 SigmaHQ 仓库中的原始路径 使用此 CSV 进行筛选或透视——例如,在 Excel 中打开并按 `tactics contains "credential-access"` 和 `level = critical` 进行筛选。 ## 保留的源文件夹 每个规则的源文件夹都记录在清单中: - rules/ — 主要的、经过验证的检测 (3,132) - rules-threat-hunting/ — 更广泛、误报率较高的狩猎规则 (139) - rules-emerging-threats/ — 特定于 TA、恶意软件或 CVE 的规则 (457) - rules-compliance/ — 仅用于合规 (3) ## 将任何文件夹转换为你的 SIEM ``` # Logpoint sigma convert -t logpoint -p logpoint_windows ./04_execution/ # Splunk sigma convert -t splunk -p splunk_windows ./09_credential-access/ # Microsoft Sentinel / Defender sigma convert -t microsoft365defender -p microsoft_xdr ./08_stealth/ # Elastic sigma convert -t lucene -p ecs_windows ./03_initial-access/ ``` ## 许可证 Detection Rule License (DRL) 1.1 — 与上游 SigmaHQ 相同。 详见 https://github.com/SigmaHQ/Detection-Rule-License
标签:ATT&CK框架, Sigma规则, YARA, 云资产可视化, 子域枚举, 目标导入