KandeDivya/detection-rules

GitHub: KandeDivya/detection-rules

一个将 Sigma 规则、Elasticsearch 查询和 YARA 签名统一映射至 MITRE ATT&CK 的威胁检测规则库,帮助安全团队快速构建跨 SIEM 平台的检测能力。

Stars: 0 | Forks: 0

# detection-rules 用于常见攻击者技术的 Sigma 规则、ElasticSearch 狩猎查询和 YARA 签名。 所有规则均映射至 MITRE ATT&CK,并包含调试说明和误报指导。 ## 结构 ``` sigma/ discovery/ # T1046, T1595, T1018 initial-access/ # T1190, T1133 credential-access/ # T1110, T1078 elastic-queries/ # KQL equivalents for ELK stack yara/ # Malware and exploit artifact signatures ``` ## MITRE 覆盖范围 | 技术 | 标题 | 状态 | |-----------|-------|--------| | T1046 | 网络服务扫描 | ✅ | | T1110.001 | 暴力破解:密码猜测 | ✅ | | T1190 | 利用面向公众的应用程序 | 🔄 即将推出 | | T1595.002 | 主动扫描:漏洞扫描 | 🔄 即将推出 | ## 用法 规则采用 Sigma 格式编写,可使用 [sigmac](https://github.com/SigmaHQ/sigma) 或 [pySigma](https://github.com/SigmaHQ/pySigma) 转换为适用于任何 SIEM 的格式。 ``` # 转换为 Elastic SIEM sigma convert -t elasticsearch sigma/discovery/T1046-network-service-scan.yml # 转换为 Splunk sigma convert -t splunk sigma/discovery/T1046-network-service-scan.yml ```
标签:CISA项目, ElasticSearch, Sigma规则, YARA, 云资产可视化, 安全检测规则, 密码管理, 插件系统, 目标导入