certeu/droid

GitHub: certeu/droid

一个基于 pySigma 的检测规则管理工具，帮助团队实现 Detection-As-Code 并将 Sigma 规则部署到多个 SIEM/EDR 平台。

Stars: 45 | Forks: 5

# droid `droid` 是一个 PySigma 封装器，旨在简化 [Sigma](https://sigmahq.io/) 的采用并帮助实现 Detection-As-Code。`droid` 的最终目标是使用一个仓库的 Sigma 规则并将其部署到一个或多个平台（SIEM/EDR）。该工具还支持纯 SIEM/EDR 搜索查询。 ![droid workflow](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/e4418d0489221106.png) ## 🚀 功能主要功能包括： 1. **验证** Sigma 规则的语法 2. 通过对每个日志源和平台应用一组转换来**转换**它们 3. 在日志中**搜索**并报告发现 4. 利用 Atomic Red Team™ **测试**规则（开发中） 5. 将其**部署**到任何兼容的 SIEM 和 EDR（例如 Splunk, Microsoft Sentinel） ## 🚂 入门指南要开始使用该工具，请访问[文档页面](https://certeu.github.io/droid-docs/getting-started/)并针对您的环境配置 `droid`。注意：需要 Python 3.11.8+ 版本 ## 📚 资源 - [Sigma Unleashed: A Realistic Implementation](https://www.first.org/resources/papers/conf2024/1315-1350-Sigma-Unleashed-Mathieu-Le-Cleach.pdf) ## 许可证根据 EUPL 授权。

标签：AMSI绕过, Atomic Red Team, Detection-as-Code, EDR, Microsoft Sentinel, PySigma, Python, SecOps, Sigma 规则, 云安全架构, 域名分析, 威胁检测, 安全运营, 扫描框架, 数据泄露检测, 无后门, 日志搜索, 脆弱性评估, 规则转换, 逆向工具