janderik/sigma-rules-hub
GitHub: janderik/sigma-rules-hub
一个精选的 Sigma 安全检测规则中心,提供跨平台威胁检测规则及验证、转换工具。
Stars: 0 | Forks: 0
# Sigma 规则中心
[](https://python.org)
[](LICENSE)
[]()
[]()
[]()
[]()
## 功能
- **Windows 检测规则**:Event logs, Sysmon, PowerShell
- **Linux 检测规则**:Audit logs, syslog, 进程监控
- **云检测规则**:AWS CloudTrail, Azure AD, GCP Audit
- **规则验证器**:根据 Sigma 规范验证规则
- **规则转换器**:将规则转换为 Splunk, Elastic, QRadar 格式
- **贡献指南**:便捷的贡献流程
## 快速开始
### 前置条件
- Python 3.8 或更高版本
### 安装说明
```
# Clone 仓库
git clone https://github.com/janderik/sigma-rules-hub.git
cd sigma-rules-hub
# 创建 virtual environment
python -m venv venv
source venv/bin/activate # Linux/Mac
# 或
venv\Scripts\activate # Windows
# 安装 dependencies
pip install -r requirements.txt
```
### 验证规则
```
# 验证所有 rules
python tools/validator.py --rules ./rules
# 验证特定目录
python tools/validator.py --rules ./rules/windows
# 验证单个文件
python tools/validator.py --rules ./rules/windows/suspicious_process.yaml
```
### 转换规则
```
# 转换为 Splunk 格式
python tools/converter.py --rules ./rules --format splunk --output ./output/splunk
# 转换为 Elastic 格式
python tools/converter.py --rules ./rules --format elastic --output ./output/elastic
# 转换为 QRadar 格式
python tools/converter.py --rules ./rules --format qradar --output ./output/qradar
```
## 规则语法
Sigma 规则遵循标准化的 YAML 格式:
```
title: Suspicious Process Execution
id: abc12345-6789-0abc-def0-1234567890ab
status: experimental
description: Detects suspicious process execution patterns
references:
- https://example.com/reference
author: Security Team
date: 2024/01/15
modified: 2024/01/20
tags:
- attack.execution
- attack.t1059
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- '\cmd.exe'
- '\powershell.exe'
CommandLine|contains:
- 'whoami'
- 'net user'
- 'net group'
condition: selection
falsepositives:
- Legitimate administrative tools
level: high
```
## 规则类别
### Windows 规则
- **进程创建**:可疑的进程执行
- **网络连接**:异常网络活动
- **文件操作**:可疑的文件修改
- **注册表事件**:注册表持久化机制
- **PowerShell**:可疑的 PowerShell 命令
### Linux 规则
- **进程执行**:可疑的进程行为
- **身份验证**:登录异常
- **文件操作**:可疑的文件访问
- **网络**:异常网络连接
- **权限提升**:sudo 滥用检测
### 云规则
- **AWS**:CloudTrail 事件,IAM 异常
- **Azure**:AD 登录,资源更改
- **GCP**:Audit logs,IAM 异常
### 添加新规则
1. Fork 该仓库
2. 按照命名约定创建新的 YAML 文件
3. 包含所有必填字段(title, id, status 等)
4. 使用验证器进行测试
5. 提交 pull request
### 规则命名约定
```
{category}_{technique_name}.yaml
```
示例:
- `process_suspicious_execution.yaml`
- `network_c2_communication.yaml`
- `persistence_registry_runkey.yaml`
## 规则 ID
每个规则必须具有唯一的 UUID。使用以下命令生成:
```
python -c "import uuid; print(str(uuid.uuid4()))"
```
## 许可证
本项目采用 MIT 许可证授权 - 有关详细信息,请参阅 [LICENSE](LICENSE) 文件。
标签:AMSI绕过, PB级数据处理, Sigma规则, 威胁检测, 安全, 安全运维, 目标导入, 超时处理, 逆向工具