itsmaheenhasan-stack/MITRE-ATTACK-Detection-Rules
GitHub: itsmaheenhasan-stack/MITRE-ATTACK-Detection-Rules
一套手工构建的 Sigma 检测规则集合,每条规则均映射 MITRE ATT&CK 技术并附带完整的可疑行为推理与调查指南。
Stars: 0 | Forks: 0
# MITRE ATT&CK 检测规则
这是一个手工构建的 Sigma 检测规则集合,映射到了 MITRE ATT&CK 技术,
每条规则都附带了完整的推理说明文档:为什么该行为可疑、在日志中的表现形式,
以及分析师应该如何进行调查。
## 建立初衷
大多数规则库都只是复制粘贴的集合。本项目侧重于深度:
每一条规则都不仅包含检测语法,还涵盖了底层的攻击者逻辑。
## 结构
rules/ → 每个技术的 Sigma 规则 (.yml) + 解释说明 (.md)
## 规则
| 技术 | ATT&CK ID | 状态 |
|---|---|---|
| PowerShell 派生 Rundll32 | T1218.011 | ✅ |
| Word 派生 PowerShell | T1566.001 | ✅ |
| 探测命令(非交互式父进程) | T1033 / T1082 | ✅ |
## 作者
Maheen Hasan --- CEH 认证
标签:ATT&CK检测, Sigma规则, 安全, 安全运营, 扫描框架, 无线安全, 目标导入, 超时处理, 速率限制, 防御加固