logtriage-cyber/logtriage-detection-rules
GitHub: logtriage-cyber/logtriage-detection-rules
经过真实样本日志验证的免费 Sigma 检测规则库,每条规则映射 MITRE ATT&CK 并附带误报说明,可直接导入主流 SIEM 平台使用。
Stars: 0 | Forks: 0
# LogTriage 检测规则
一个免费、开源的 **[Sigma](https://github.com/SigmaHQ/sigma) 检测规则**库 —— 每条规则在发布前都会
**针对真实的样本日志进行验证**:它必须在已知的恶意样本上触发,
并在良性样本上保持静默。每条规则都映射到其日志源和 MITRE ATT&CK 技术,
并附带误报说明。
每条规则的详细说明(检测逻辑、证据、误报说明)位于
**[https://logtriage.app/rules/](https://logtriage.app/rules/)**。你也可以上传自己的日志,让 LogTriage 在 **[https://logtriage.app](https://logtriage.app)** 自动进行检测。
## 为什么要“验证”?
大多数规则库在发布时未经测试。在这里,构建步骤会确认每条规则的检测
字面量确实出现在真实的恶意样本中(并且不出现在匹配的良性样本中),因此
发布的规则都是必定能触发的。这就是纸质规则与有效规则的区别。
## 规则 (10)
| ID | 规则 | 日志源 | MITRE ATT&CK | 严重程度 |
|----|------|-----------|--------------|----------|
| `LTR-0004` | [检测 Azure AD 登录日志中的旧版身份验证 MFA 绕过](https://logtriage.app/rules/azure-legacy-auth-mfa-bypass/) | Azure AD Sign-In Logs | T1078.004, T1556 | high |
| `LTR-0010` | [检测 Cloudflare 日志中的路径遍历与敏感文件侦察](https://logtriage.app/rules/cloudflare-path-traversal-recon/) | Cloudflare Logs | T1190, T1083, T1595.001 | high |
| `LTR-0002` | [检测 AWS CloudTrail 中的 IAM 权限提升](https://logtriage.app/rules/cloudtrail-iam-privilege-escalation/) | AWS CloudTrail | T1098, T1078.004, T1484 | high |
| `LTR-0008` | [检测 GCP Cloud Audit Logs 中的 IAM 权限提升](https://logtriage.app/rules/gcp-iam-privilege-escalation/) | GCP Cloud Audit Log | T1098, T1078.004 | high |
| `LTR-0009` | [检测 Audit Logs 中的 Kubernetes Secret 窃取](https://logtriage.app/rules/k8s-secret-exfiltration/) | Kubernetes Audit Log | T1552.007, T1078 | high |
| `LTR-0006` | [通过恶意收件箱规则检测商业电子邮件入侵 (Microsoft 365)](https://logtriage.app/rules/m365-bec-inbox-rule/) | Microsoft 365 Unified Audit Log | T1114.003, T1564.008 | high |
| `LTR-0001` | [检测针对身份验证 endpoint 的凭证填充 (nginx / web 日志)](https://logtriage.app/rules/nginx-credential-stuffing/) | nginx / Apache access logs | T1110.004, T1110.001 | high |
| `LTR-0007` | [检测 Okta System Log 中的凭证填充](https://logtriage.app/rules/okta-credential-stuffing/) | Okta System Log | T1110.004, T1110.001 | high |
| `LTR-0003` | [使用 Sysmon 检测 LSASS 凭证转储](https://logtriage.app/rules/sysmon-lsass-credential-dumping/) | Microsoft Sysmon | T1003.001, T1055 | critical |
| `LTR-0005` | [检测 AWS VPC Flow Logs 中的端口扫描](https://logtriage.app/rules/vpc-flow-port-scanning/) | AWS VPC Flow Logs | T1046, T1595.001 | medium |
新规则会定期添加。每个 `rules/*.yml` 都是标准的 Sigma —— 直接将其放入你的 SIEM/转换器中即可。
## 用法
```
# 使用 sigma-cli 转换为你的 backend(示例:Splunk)
pip install sigma-cli
sigma convert -t splunk rules/nginx-credential-stuffing.yml
```
## 许可证
在 MIT 许可证下发布(参见 [LICENSE](LICENSE))—— 可免费使用、修改和重新分发。
由 [LogTriage](https://logtriage.app) 维护。生成于 2026-07-05。
标签:AMSI绕过, CISA项目, Reconnaissance, Sigma规则, StruQ, 威胁检测, 子域枚举, 安全, 密码管理, 数据处理, 目标导入, 网络安全审计, 超时处理