vanminh-attt/sigma-detection-rules
GitHub: vanminh-attt/sigma-detection-rules
一套映射 MITRE ATT&CK 的 Sigma 检测规则及 Splunk 转换 pipeline,覆盖常见 Windows 攻击行为,附带误报策略与关联检测逻辑。
Stars: 0 | Forks: 0
# Sigma 检测规则 🕵️
来自我紫队的实验室手写的 [Sigma](https://sigmahq.io) 检测规则 —— 已映射到 [MITRE ATT&CK](https://attack.mitre.org/),针对真实的 Windows 事件日志进行了测试,并使用 `sigma-cli` 转换为了 Splunk 查询。
## 📋 规则索引
| 规则 | MITRE ATT&CK | 日志源 | 严重性 |
|---|---|---|---|
| [PowerShell 编码命令](rules/windows/encoded_powershell.yml) | [T1059.001](https://attack.mitre.org/techniques/T1059/001/), [T1027](https://attack.mitre.org/techniques/T1027/) | process_creation | 🔴 高 |
| [登录失败 → 暴力破解](rules/windows/failed_logon.yml) *(关联规则)* | [T1110](https://attack.mitre.org/techniques/T1110/) | Security EventID 4625 | 🔴 高 |
| [可疑的 LSASS 进程访问](rules/windows/lsass_access.yml) | [T1003.001](https://attack.mitre.org/techniques/T1003/001/) | Sysmon EventID 10 (process_access) | 🔴 高 |
| [PowerShell 下载 Cradle](rules/windows/ps_download.yml) | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | Script Block Logging (4104) | 🔴 高 |
| [用户被添加到本地管理员](rules/windows/user_add_admin.yml) | [T1098](https://attack.mitre.org/techniques/T1098/) | Security EventID 4732 | 🔴 高 |
| [Whoami 执行](rules/windows/whoami.yml) | [T1033](https://attack.mitre.org/techniques/T1033/) | process_creation | 🟡 中 |
## 🚀 转换为 Splunk
```
pip install sigma-cli
sigma plugin install splunk
# 使用 custom lab pipeline 转换每条 rule
sigma convert -t splunk -p pipelines/splunk_pipeline.yml rules/windows/
```
[自定义 pipeline](pipelines/splunk_pipeline.yml) 使用 `index=*` 包装了每个查询,因此它可以在实验室环境中开箱即用;在生产环境中,您需要将其范围限定为您的 Windows 索引。
示例 —— `encoded_powershell.yml` 变为:
```
index=* (Image="*\\powershell.exe" OR Image="*\\pwsh.exe") (CommandLine="* -enc *" OR CommandLine="* -encodedcommand *" OR CommandLine="* -ec *")
```
## 🧠 检测工程笔记
- **每条规则都记录了其误报 (FP)** —— 没有 FP 策略的检测只是一个警报生成器。
- **噪声分级:** 单独的 `whoami.exe` 为中(后渗透发现信号),而具有读取权限的 LSASS 访问为高 —— 严重性取决于攻击者的成本,而不是事件的罕见程度。
- **关联优于单一事件:** [failed_logon.yml](rules/windows/failed_logon.yml) 提供了一个低严重性的基础规则 (4625) 以及一个 Sigma **关联规则** —— 在 5 分钟内来自同一 `IpAddress` + `TargetUserName` 的失败次数 ≥10 ⇒ 暴力破解。
- **良性路径过滤:** LSASS 规则排除了 `C:\Windows\System32\` 和 `C:\Program Files\` 源映像,以便在噪声到达 SOC 队列之前切断 AV/EDR 的噪声。
## 🗺️ ATT&CK 覆盖范围
`Execution` · `Defense Evasion` · `Credential Access` · `Persistence` · `Discovery`
## 🛣️ 路线图
- [ ] 计划任务持久化 (T1053.005) 和注册表 Run 键 (T1547.001)
- [ ] GitHub Actions CI:在每次推送时进行 `sigma check` 验证
- [ ] 第二后端:Elastic / Wazuh 转换
- [ ] 针对每个规则的 Atomic Red Team 测试映射
## 📄 许可证
[MIT](LICENSE) —— 可随意使用、改编和狩猎。
标签:AMSI绕过, DNS 反向解析, OpenCanary, Reconnaissance, Sigma规则, 威胁检测, 安全, 目标导入, 超时处理, 逆向工具