janderik/sigma-rules-hub

GitHub: janderik/sigma-rules-hub

一个精选的 Sigma 安全检测规则中心,提供跨平台威胁检测规则及验证、转换工具。

Stars: 0 | Forks: 0

# Sigma 规则中心 [![Python 3.8+](https://img.shields.io/badge/Python-3.8+-blue.svg)](https://python.org) [![License: MIT](https://img.shields.io/badge/License-MIT-green.svg)](LICENSE) [![Build Status](https://img.shields.io/badge/build-passing-brightgreen)]() [![PRs Welcome](https://img.shields.io/badge/PRs-welcome-orange)]() [![Maintenance](https://img.shields.io/badge/maintenance-active-blue)]() [![Sigma Rules](https://img.shields.io/badge/Sigma-Rules-100+-red)]() ## 功能 - **Windows 检测规则**:Event logs, Sysmon, PowerShell - **Linux 检测规则**:Audit logs, syslog, 进程监控 - **云检测规则**:AWS CloudTrail, Azure AD, GCP Audit - **规则验证器**:根据 Sigma 规范验证规则 - **规则转换器**:将规则转换为 Splunk, Elastic, QRadar 格式 - **贡献指南**:便捷的贡献流程 ## 快速开始 ### 前置条件 - Python 3.8 或更高版本 ### 安装说明 ``` # Clone 仓库 git clone https://github.com/janderik/sigma-rules-hub.git cd sigma-rules-hub # 创建 virtual environment python -m venv venv source venv/bin/activate # Linux/Mac # 或 venv\Scripts\activate # Windows # 安装 dependencies pip install -r requirements.txt ``` ### 验证规则 ``` # 验证所有 rules python tools/validator.py --rules ./rules # 验证特定目录 python tools/validator.py --rules ./rules/windows # 验证单个文件 python tools/validator.py --rules ./rules/windows/suspicious_process.yaml ``` ### 转换规则 ``` # 转换为 Splunk 格式 python tools/converter.py --rules ./rules --format splunk --output ./output/splunk # 转换为 Elastic 格式 python tools/converter.py --rules ./rules --format elastic --output ./output/elastic # 转换为 QRadar 格式 python tools/converter.py --rules ./rules --format qradar --output ./output/qradar ``` ## 规则语法 Sigma 规则遵循标准化的 YAML 格式: ``` title: Suspicious Process Execution id: abc12345-6789-0abc-def0-1234567890ab status: experimental description: Detects suspicious process execution patterns references: - https://example.com/reference author: Security Team date: 2024/01/15 modified: 2024/01/20 tags: - attack.execution - attack.t1059 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\cmd.exe' - '\powershell.exe' CommandLine|contains: - 'whoami' - 'net user' - 'net group' condition: selection falsepositives: - Legitimate administrative tools level: high ``` ## 规则类别 ### Windows 规则 - **进程创建**:可疑的进程执行 - **网络连接**:异常网络活动 - **文件操作**:可疑的文件修改 - **注册表事件**:注册表持久化机制 - **PowerShell**:可疑的 PowerShell 命令 ### Linux 规则 - **进程执行**:可疑的进程行为 - **身份验证**:登录异常 - **文件操作**:可疑的文件访问 - **网络**:异常网络连接 - **权限提升**:sudo 滥用检测 ### 云规则 - **AWS**:CloudTrail 事件,IAM 异常 - **Azure**:AD 登录,资源更改 - **GCP**:Audit logs,IAM 异常 ### 添加新规则 1. Fork 该仓库 2. 按照命名约定创建新的 YAML 文件 3. 包含所有必填字段(title, id, status 等) 4. 使用验证器进行测试 5. 提交 pull request ### 规则命名约定 ``` {category}_{technique_name}.yaml ``` 示例: - `process_suspicious_execution.yaml` - `network_c2_communication.yaml` - `persistence_registry_runkey.yaml` ## 规则 ID 每个规则必须具有唯一的 UUID。使用以下命令生成: ``` python -c "import uuid; print(str(uuid.uuid4()))" ``` ## 许可证 本项目采用 MIT 许可证授权 - 有关详细信息,请参阅 [LICENSE](LICENSE) 文件。
标签:AMSI绕过, PB级数据处理, Sigma规则, 威胁检测, 安全, 安全运维, 目标导入, 超时处理, 逆向工具