P4T12ICK/Sigma-Hunting-App

# Sigma-Hunting-App 一个包含 Sigma 检测规则的 Splunk App，可以从 Git 仓库动态更新。 ## 动机 大多数现代安全运营中心 (SOC) 都将检测规则存储在 GitHub 或 GitLab 等中央仓库中，作为 Dev Sec Ops 开发方法的一部分。此外，[Sigma](https://github.com/Neo23x0/sigma) 作为一种通用签名描述语言，在许多 SOC 中被广泛使用。从 Sigma 仓库将 Sigma 规则更新到 Splunk 仍然是一项耗时的手动任务。Sigma Hunting App 解决了这个问题，它提供了一个专用的 Splunk App，可用于从 Git 仓库动态更新 Sigma 检测规则。触发的检测规则存储在单独的威胁搜寻索引中，有助于 SOC 分析师进行调查。此外，用于 Splunk 的 Sigma Hunting App 利用 [Mitre ATT&CK Matrix](https://attack.mitre.org/matrices/enterprise/) 的信息来丰富触发的检测规则。 用于 Splunk 的 Sigma Hunting App 提供以下功能： - 从远程 Git 仓库动态更新 Sigma 检测规则 - 将触发的检测规则存储在专用索引中 - 使用 [Mitre ATT&CK Matrix](https://attack.mitre.org/matrices/enterprise/) 的数据丰富触发的检测规则 - 提供强大的调查仪表板：安全态势、主机调查员、APT 调查员、横向移动调查员 ### 更新 Sigma 检测规则 Sigma 检测规则可以从 Sigma Hunting App 进行更新：  可以通过 Sigma Hunting App 的设置视图配置远程 Git 仓库：  ### 将触发的检测规则存储在专用索引中 触发的检测规则存储在 threat-hunting 索引中：  ### 使用 Mitre ATT&CK 数据进行丰富 threat-hunting 索引中触发的检测规则使用 Mitre ATT&CK 数据（如 Technique、Tactics、ID、Threat Actors）进行丰富。 ### 提供调查仪表板 存在多个用于调查的仪表板。 安全态势仪表板为您提供了按 Mitre ATT&CK Tactics 分类的触发检测规则的概览：  主机调查员支持您针对特定主机进行调查。它以时间轴图表的形式显示不同的触发检测规则：  APT 调查员尝试通过使用触发检测规则的信息来识别是哪个威胁行为者在攻击您：  ## 安装 安装步骤在 [wiki](https://github.com/P4T12ICK/Sigma-Hunting-App/wiki/Installation-Sigma-Hunting-App) 中有详细描述。 ## 致谢 这是一个由 Patrick Bareiss (Twitter: [@bareiss_patrick](https://twitter.com/bareiss_patrick)) 开发的私有仓库。 ## 感谢 我要感谢一些直接和间接支持我的人： - Leandra Bareiss：感谢您对我的耐心。 - Florian Roth / Thomas Patzke：感谢开发了伟大的工具 Sigma - Olaf Hartong：感谢他出色的 Threat Hunting App，给了我灵感 - Freddy Dezeure：感谢您的支持 - Andrii Bezverkhyi：感谢解答 Splunk 相关问题 - Chris Long：感谢 Detection Lab - SwiftOnSecrity：感谢 Sysmon Config，我在所有测试中都使用了它

标签：APT调查, Cloudflare, DevSecOps, FTP漏洞扫描, Git同步, MITRE ATT&CK, Splunk App, URL发现, 上游代理, 安全态势感知, 安全检测, 安全编排, 安全运营, 扫描框架, 横向移动检测, 网络安全研究, 规则管理, 逆向工具