faizaanmir/sigma-detection-rules

GitHub: faizaanmir/sigma-detection-rules

一套与供应商无关的 Sigma 格式安全检测规则集合,可通过 sigma-cli 转换为 KQL、SPL、AQL 等多种 SIEM 查询语言实现跨平台部署。

Stars: 0 | Forks: 0

# Sigma 检测规则 使用 [Sigma](https://github.com/SigmaHQ/sigma) 格式编写的、与供应商无关的检测规则。使用 `sigma-cli` 可以将 Sigma 规则转换为 KQL (Microsoft Sentinel)、SPL (Splunk)、AQL (IBM QRadar)、Elasticsearch 以及许多其他 SIEM 查询语言。 ## 为什么选择 Sigma? 使用 Sigma 编写检测意味着一条规则可以在所有 SIEM 平台上通用。无需再为同一个检测分别维护 KQL、SPL 和 AQL 版本,您只需编写一次即可进行转换。 ## 规则索引 | 规则 | 战术 | 技术 | 严重性 | |---|---|---|---| | [ntlm-password-spray.yml](credential-access/ntlm-password-spray.yml) | 凭据访问 | T1110.003 | 高 | | [dcsync-attack.yml](credential-access/dcsync-attack.yml) | 凭据访问 | T1003.006 | 严重 | | [phishing-office-spawning-shell.yml](initial-access/phishing-office-spawning-shell.yml) | 初始访问 | T1566.001 | 高 | | [scheduled-task-creation-cli.yml](persistence/scheduled-task-creation-cli.yml) | 持久化 | T1053.005 | 中 | | [smb-admin-share-access.yml](lateral-movement/smb-admin-share-access.yml) | 横向移动 | T1021.002 | 高 | | [dns-high-query-volume.yml](exfiltration/dns-high-query-volume.yml) | 数据外泄 | T1048.003 | 中 | | [powershell-encoded-command.yml](defense-evasion/powershell-encoded-command.yml) | 防御规避 | T1059.001 | 高 | | [lolbas-mshta-execution.yml](defense-evasion/lolbas-mshta-execution.yml) | 防御规避 | T1218.005 | 高 | ## 转换规则 ### 安装 sigma-cli ``` pip install sigma-cli pip install pysigma-backend-splunk pip install pysigma-backend-microsoft365defender pip install pysigma-backend-qradar ``` ### 转换为 Splunk SPL ``` sigma convert -t splunk -p splunk_windows credential-access/ntlm-password-spray.yml ``` ### 转换为 KQL (Microsoft Sentinel) ``` sigma convert -t microsoft365defender credential-access/ntlm-password-spray.yml ``` ### 转换为 QRadar AQL ``` sigma convert -t qradar credential-access/ntlm-password-spray.yml ``` ### 批量转换整个文件夹 ``` sigma convert -t splunk -p splunk_windows credential-access/ -o output_splunk/ ``` ## 规则结构 每个 `.yml` 文件都遵循官方的 Sigma schema: ``` title: Human-readable rule name id: UUID status: stable | test | experimental description: What the rule detects and why it matters author: Faizaan Sajjad date: YYYY-MM-DD tags: - attack.tactic_name - attack.tXXXX logsource: category: process_creation | dns | network_connection | ... product: windows | linux | ... detection: selection: field: value condition: selection falsepositives: - Known false positive sources level: critical | high | medium | low | informational ``` ## 参考 - [Sigma GitHub](https://github.com/SigmaHQ/sigma) - [Sigma 规则中心](https://sigmahq.io/) - [sigma-cli 文档](https://github.com/SigmaHQ/sigma-cli) - [MITRE ATT&CK](https://attack.mitre.org/) *作者:Faizaan Sajjad — 安全专家,Orange Cyber Defense* *所有规则均使用经过脱敏的数据。在生产环境中部署之前,请先在您的环境中进行测试。*
标签:AMSI绕过, OpenCanary, PB级数据处理, Reconnaissance, Sigma规则, 威胁检测, 安全运维, 目标导入, 网络安全, 逆向工具, 隐私保护