itsmaheenhasan-stack/MITRE-ATTACK-Detection-Rules

GitHub: itsmaheenhasan-stack/MITRE-ATTACK-Detection-Rules

一套手工构建的 Sigma 检测规则集合,每条规则均映射 MITRE ATT&CK 技术并附带完整的可疑行为推理与调查指南。

Stars: 0 | Forks: 0

# MITRE ATT&CK 检测规则 这是一个手工构建的 Sigma 检测规则集合,映射到了 MITRE ATT&CK 技术, 每条规则都附带了完整的推理说明文档:为什么该行为可疑、在日志中的表现形式, 以及分析师应该如何进行调查。 ## 建立初衷 大多数规则库都只是复制粘贴的集合。本项目侧重于深度: 每一条规则都不仅包含检测语法,还涵盖了底层的攻击者逻辑。 ## 结构 rules/ → 每个技术的 Sigma 规则 (.yml) + 解释说明 (.md) ## 规则 | 技术 | ATT&CK ID | 状态 | |---|---|---| | PowerShell 派生 Rundll32 | T1218.011 | ✅ | | Word 派生 PowerShell | T1566.001 | ✅ | | 探测命令(非交互式父进程) | T1033 / T1082 | ✅ | ## 作者 Maheen Hasan --- CEH 认证
标签:ATT&CK检测, Sigma规则, 安全, 安全运营, 扫描框架, 无线安全, 目标导入, 超时处理, 速率限制, 防御加固