gauthamrajendranp/YARA-L-detection-rules-Google-Chronicle
GitHub: gauthamrajendranp/YARA-L-detection-rules-Google-Chronicle
Stars: 0 | Forks: 0
适用于 Google SecOps 的 YARA-L 检测规则
这是一个专为 Google Chronicle SIEM (SecOps) 设计的综合 YARA-L 检测规则集合,旨在加强跨各种云环境和用例的安全监控。
📋 概述
本代码库包含为 Google Chronicle 中的主动威胁检测和安全监控开发的定制 YARA-L 检测规则。这些规则涵盖多个安全领域,包括 Office 365、云基础设施(AWS、GCP)、地理封禁场景以及其他关键安全用例。
🚀 涵盖的用例
* Office 365 安全
1. 可疑的登录模式和不可能的移动
2. 批量文件下载和共享活动
3. 恶意的 Power Automate 流程
4. 异常的邮箱访问和转发规则
* GCP 安全监控
1. 可疑的 Compute Engine 实例创建
2. IAM 权限提升尝试
3. Cloud Storage 存储桶枚举
4. 挖矿检测
* AWS 安全监控
1. 异常的 CloudTrail 事件和 API 调用
2. 安全组修改
3. 未授权的资源访问
4. Root 账户使用监控
* 地理封禁与基于位置的检测
1. 来自高风险国家的访问
2. VPN 和代理服务检测
3. 数据外传到可疑位置
4. 地理位置异常检测
* 网络安全
1. 端口扫描和侦察
2. 暴力破解身份验证尝试
3. DNS 隧道检测
4. 可疑的网络流量模式
🛠️ 快速开始
* 前置条件
1. Google Chronicle SIEM 实例
2. 已配置适当的数据摄取
3. 拥有创建和部署检测规则的必要权限
安装
1. 克隆此代码库:
bash
git clone https://github.com/gauthamrajendranp/YARA-L-detection-rules-Google-Chronicle.git
cd YARA-L-detection-rules-Google-Chronicle
2. 根据您的环境审查并定制规则
3. 将规则部署到您的 Google Chronicle 实例
规则部署
请参阅部署指南以获取有关以下内容的详细说明:
1. 规则验证和测试
2. 部署最佳实践
3. 规则调优和定制
📝 规则开发
模板使用:
使用提供的规则模板创建新的检测规则:
```
yara-l
rule rule_name {
meta:
author = "Your Name"
description = "Brief description of the rule"
severity = "MEDIUM"
confidence = "HIGH"
use_case = "Specific use case"
events:
// Event matching conditions
match:
// Aggregation fields
condition:
// Rule conditions
}
```
测试:
1. 使用 tests/ 目录中的测试用例
2. 使用样本数据验证规则
3. 测试规则性能和准确性
🔧 配置
定制:
1. 根据您的环境更新规则阈值
2. 修改监视列表和参考数据
3. 根据您的风险偏好调整严重性级别
4. 定制通知渠道
调优建议
1. 从较高的阈值开始,然后向下调整
2. 监控误报率
3. 定期审查和更新规则
4. 考虑您组织的特定风险概况
📊 监控与维护
规则性能:
1. 监控规则执行日志
2. 跟踪检测率和误报
3. 定期审查规则有效性
更新
1. 定期更新规则以应对新威胁
2. 纳入新的数据源
3. 针对环境变化进行调整
🤝 贡献
欢迎贡献!请参阅我们的贡献指南以了解有关以下内容的详细信息:
1. 提交新的检测规则
2. 报告问题
3. 改进现有规则
4. 代码审查流程
⚠️ 免责声明
这些检测规则按“原样”提供,在生产环境中部署之前,应在您的环境中进行彻底测试。作者不对使用这些规则可能产生的任何误报、漏报或其他问题负责。
📞 支持
如有问题或疑问:
1. 查阅故障排除指南
2. 查看现有的 GitHub Issues
3. 创建包含详细信息的新 Issue
🔒 安全注意事项
1. 定期审查和更新检测逻辑
2. 监控规则绕过技术
3. 保持规则与您的安全策略一致
4. 定期进行威胁搜寻演练
维护者:Gowthaman | 安全工程师
最后更新:2025年11月17日
标签:AMSI绕过, AWS 监控, CloudTrail, DNS 反向解析, DNS 隧道, EDR, FTP漏洞扫描, GCP 监控, Google Chronicle, IAM, IP 地址批量处理, Office 365 安全, PoC, SecOps, YARA-L, 云安全架构, 加密货币挖矿, 协议分析, 地理围栏, 威胁检测, 安全检测规则, 安全编排, 异常登录, 数据渗出, 数据统计, 暴力破解, 权限提升, 端口扫描, 红队行动, 脆弱性评估