wagga40/Zircolite-Rules

# Zircolite-Rules 本仓库使用 Github Actions 生成定期更新的 Zircolite 格式 Sigma 规则集。 ## 默认规则集 除了最后两个规则集外，这些规则集都是使用 `sigmac` 生成的，该工具可在 [官方 sigma 仓库](https://github.com/SigmaHQ/legacy-sigmatools) 中获取。 名称中包含 "pysigma" 的规则集是使用 [pySigma](https://github.com/SigmaHQ/pySigma) 的全新 [SQLite 后端](https://github.com/wagga40/pySigma-backend-sqlite) 生成的。 :warning: **这些规则集按“原样”提供，旨在帮助新分析师了解 SIGMA 和 Zircolite。它们未经过滤，可能包含运行缓慢的规则、存在大量误报的规则等。如果您清楚自己在做什么，应当生成您自己的规则集。** - `rules_windows_generic_full.json` ：来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录的完整 SIGMA 规则集（无 SYSMON 重写） - `rules_windows_generic_high.json` ：仅包含来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录中级别为 high 及以上的 SIGMA 规则（无 SYSMON 重写） - `rules_windows_generic_medium.json` ：仅包含来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录中级别为 medium 及以上的 SIGMA 规则（无 SYSMON 重写） - `rules_windows_generic.json` ：与 `rules_windows_generic_high.json` 文件相同 - `rules_windows_sysmon_full.json` ：来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录的完整 SIGMA 规则集（SYSMON） - `rules_windows_sysmon_high.json` ：仅包含来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录中级别为 high 及以上的 SIGMA 规则（SYSMON） - `rules_windows_sysmon_medium.json` ：仅包含来自官方仓库“**Windows**”、“rules-emerging-threats”和“rules-threat-hunting”目录中级别为 medium 及以上的 SIGMA 规则（SYSMON） - `rules_windows_sysmon.json` ：与 `rules_windows_sysmon_high.json` 文件相同 - `rules_windows_sysmon_pysigma.json` ：与 `rules_windows_sysmon_full.json` 文件相同，但**使用 pySigma 生成** - `rules_windows_generic_pysigma` ：与 `rules_windows_generic_full.json` 文件相同，但**使用 pySigma 生成** - `rules_linux.json` ：按“原样”转换的 Linux 规则

标签：AMSI绕过, BurpSuite集成, Conpot, Detection-Engineering, Github Actions, Homebrew安装, pySigma, sigmac, SQLite, Sysmon, Windows安全, Zircolite, 威胁检测, 安全运营, 扫描框架, 网络安全, 网络调试, 自动化, 规则转换, 速率限制, 隐私保护