faizaanmir/sigma-detection-rules
GitHub: faizaanmir/sigma-detection-rules
一套与供应商无关的 Sigma 格式安全检测规则集合,可通过 sigma-cli 转换为 KQL、SPL、AQL 等多种 SIEM 查询语言实现跨平台部署。
Stars: 0 | Forks: 0
# Sigma 检测规则
使用 [Sigma](https://github.com/SigmaHQ/sigma) 格式编写的、与供应商无关的检测规则。使用 `sigma-cli` 可以将 Sigma 规则转换为 KQL (Microsoft Sentinel)、SPL (Splunk)、AQL (IBM QRadar)、Elasticsearch 以及许多其他 SIEM 查询语言。
## 为什么选择 Sigma?
使用 Sigma 编写检测意味着一条规则可以在所有 SIEM 平台上通用。无需再为同一个检测分别维护 KQL、SPL 和 AQL 版本,您只需编写一次即可进行转换。
## 规则索引
| 规则 | 战术 | 技术 | 严重性 |
|---|---|---|---|
| [ntlm-password-spray.yml](credential-access/ntlm-password-spray.yml) | 凭据访问 | T1110.003 | 高 |
| [dcsync-attack.yml](credential-access/dcsync-attack.yml) | 凭据访问 | T1003.006 | 严重 |
| [phishing-office-spawning-shell.yml](initial-access/phishing-office-spawning-shell.yml) | 初始访问 | T1566.001 | 高 |
| [scheduled-task-creation-cli.yml](persistence/scheduled-task-creation-cli.yml) | 持久化 | T1053.005 | 中 |
| [smb-admin-share-access.yml](lateral-movement/smb-admin-share-access.yml) | 横向移动 | T1021.002 | 高 |
| [dns-high-query-volume.yml](exfiltration/dns-high-query-volume.yml) | 数据外泄 | T1048.003 | 中 |
| [powershell-encoded-command.yml](defense-evasion/powershell-encoded-command.yml) | 防御规避 | T1059.001 | 高 |
| [lolbas-mshta-execution.yml](defense-evasion/lolbas-mshta-execution.yml) | 防御规避 | T1218.005 | 高 |
## 转换规则
### 安装 sigma-cli
```
pip install sigma-cli
pip install pysigma-backend-splunk
pip install pysigma-backend-microsoft365defender
pip install pysigma-backend-qradar
```
### 转换为 Splunk SPL
```
sigma convert -t splunk -p splunk_windows credential-access/ntlm-password-spray.yml
```
### 转换为 KQL (Microsoft Sentinel)
```
sigma convert -t microsoft365defender credential-access/ntlm-password-spray.yml
```
### 转换为 QRadar AQL
```
sigma convert -t qradar credential-access/ntlm-password-spray.yml
```
### 批量转换整个文件夹
```
sigma convert -t splunk -p splunk_windows credential-access/ -o output_splunk/
```
## 规则结构
每个 `.yml` 文件都遵循官方的 Sigma schema:
```
title: Human-readable rule name
id: UUID
status: stable | test | experimental
description: What the rule detects and why it matters
author: Faizaan Sajjad
date: YYYY-MM-DD
tags:
- attack.tactic_name
- attack.tXXXX
logsource:
category: process_creation | dns | network_connection | ...
product: windows | linux | ...
detection:
selection:
field: value
condition: selection
falsepositives:
- Known false positive sources
level: critical | high | medium | low | informational
```
## 参考
- [Sigma GitHub](https://github.com/SigmaHQ/sigma)
- [Sigma 规则中心](https://sigmahq.io/)
- [sigma-cli 文档](https://github.com/SigmaHQ/sigma-cli)
- [MITRE ATT&CK](https://attack.mitre.org/)
*作者:Faizaan Sajjad — 安全专家,Orange Cyber Defense*
*所有规则均使用经过脱敏的数据。在生产环境中部署之前,请先在您的环境中进行测试。*
标签:AMSI绕过, OpenCanary, PB级数据处理, Reconnaissance, Sigma规则, 威胁检测, 安全运维, 目标导入, 网络安全, 逆向工具, 隐私保护