Main Sigma Rule Repository
| 文件 | 最后提交记录 | 最后更新时间 |
|---|---|---|
| 1 天前 | ||
| 2 个月前 | ||
| 2 年前 | ||
| 2 年前 | ||
| 1 天前 | ||
| 1 天前 | ||
| 7 个月前 | ||
| 3 年前 | ||
| 1 天前 | ||
| 1 天前 | ||
| 1 天前 | ||
| 1 天前 | ||
| 1 天前 | ||
| 2 年前 | ||
| 3 年前 | ||
| 2 个月前 | ||
| 2 年前 | ||
| 21 天前 | ||
| 3 年前 | ||
| 21 天前 | ||
| 2 年前 | ||
| 1 个月前 |
Sigma - SIEM 系统通用签名格式
欢迎来到 Sigma 主规则库。这里是检测工程师、威胁猎手以及所有防御性安全从业者协作开发检测规则的地方。本仓库提供超过 3000 条不同类型的检测规则,旨在让可靠的检测技术免费供所有人使用。
目前,该仓库提供以下五种类型的规则:
- 通用检测规则 - 与具体威胁无关,其目的是检测某种行为,或某种技术、流程的实施方式,这些行为或方式过去、现在或将来可能被潜在的威胁行为者所利用。
- 威胁狩猎规则 - 范围更广,旨在为分析师提供一个起点,以便搜寻潜在的可疑或恶意活动。
- 新兴威胁规则 - 针对特定威胁的规则,在特定时期内具有时效性和相关性。这些威胁包括特定的 APT 攻击活动、零日漏洞利用、攻击中使用的特定恶意软件等。
- 合规规则 - 帮助您基于 CIS Controls、NIST、ISO 27001 等知名安全框架识别合规违规情况的规则。
- 占位符规则 - 在规则转换或使用时才获得最终含义的规则。
探索 Sigma
要开始探索 Sigma 生态系统,请访问官方网站 sigmahq.io
什么是 Sigma
Sigma 是一种通用且开放的签名格式,让您能够以直观的方式描述相关日志事件。该规则格式灵活性极高,易于编写,且适用于任何类型的日志文件。
本项目的主要目的是提供一种结构化形式,供研究人员或分析师描述其已开发的检测方法,并与他人共享。
Sigma 之于日志文件,正如 Snort 之于网络流量,YARA 之于文件。
为何选择 Sigma
如今,每个人都在收集日志数据进行分析。人们开始独立工作,研读大量白皮书、博客文章和日志分析指南,从中提取必要信息,构建自己的搜索和仪表板。他们的一些搜索和关联分析非常出色且实用,但缺乏一种标准化格式来与他人分享其成果。
还有一些人提供了出色的分析,包括用于检测恶意文件和网络连接的 IOC 和 YARA 规则,但无法在日志事件中描述特定或通用的检测方法。Sigma 旨在成为一种开放标准,用于定义、共享和收集此类检测机制,以提高所有人的检测能力。
🌟 主要特性
- 不断增长的检测和狩猎规则列表,由专业检测工程师社区进行同行评审。
- 与供应商无关的检测规则。
- 易于在社区和报告间共享
🏗️ 规则创建
开始编写 Sigma 规则前,请查阅以下入门指南和 Sigma 规范:
🔎 贡献与提交 PR
有关如何开始贡献新规则的详细说明,请参考 贡献指南。
📦 规则包
您可以从 发布页面 下载最新的规则包,并立即开始使用 Sigma 规则。新规则也会定期发布,因此请经常回来查看最新的检测规则。
🧬 规则使用与转换
-
您可以使用以下工具立即开始转换 Sigma 规则:
- Sigma CLI - 官方命令行转换器
- sigconverter.io - 基于 Web 的图形界面转换器
- Detection Studio - 基于 Web 的图形界面转换器
-
要将 Sigma 规则集成到您自己的工具链或产品中,请使用 pySigma。
🚨 报告误报或新规则想法
如果您发现误报,或者想提出新的检测规则想法但没有时间创建,请通过选择可用模板之一,在 GitHub 仓库 上创建一个新问题。
💬 社区
加入 Discord 上的 Sigma 社区 Discord,讨论检测工程、提问、分享想法并与其他从业者协作。我们还会在 Discord 上发布新发布和其他项目更新等公告。
🌐 官方资源
- sigmahq.io - Sigma 官方网站
- SigmaHQ 博客 - 官方博客,内容涵盖检测工程、规则发布和 Sigma 更新
- Phoenix - Sigma 规则智能平台 - 搜索、分析和理解映射到 MITRE ATT&CK 的 Sigma 规则
📚 资源与延伸阅读
- Hack.lu 2017 Sigma - Thomas Patzke 的日志事件通用特征
- Sigma - Florian Roth 的 SIEM 系统通用特征
- Florian Roth 的 50 种 Sigma 变体
- Nasreddine Bencherchali 介绍 Sigma 规范 v2.0
- SIGMA-Resources - 学习和理解 Sigma 规则的精选资源列表
- Graylog 的 Sigma 规则终极指南
- Intezer 的 Sigma 规则入门
使用或集成 Sigma 规则的项目或产品
- AlphaSOC - 利用 Sigma 规则提高所有支持的日志源的覆盖范围
- alterix - 将 Sigma 规则转换为 CRYPTTECH SIEM 的查询语言
- AttackIQ - Sigma 规则已集成到 AttackIQ 平台中,SigmAIQ 用于 Sigma 规则转换和 LLM 应用
- Atomic Threat Coverage - 自动将 Sigma 规则映射到 MITRE ATT&CK 技术、Atomic Red Team 测试和事件响应手册(自 2018 年 12 月起)
- ATR (Agent Threat Rules) - 用于 AI 代理安全威胁(提示注入、工具投毒、上下文泄露)的开放 MIT 许可检测规则格式。参考 CLI 通过
atr convert sigma将 ATR 规则导出为 Sigma 格式。 - AttackRuleMap - 将 Atomic Red Team 攻击模拟映射到开源 Sigma 检测规则,以进行覆盖评估
- Confluent Sigma - Kafka Streams 支持的 Sigma 规则
- Detection Studio - 将 Sigma 规则转换为任何受支持的 SIEM
- Exeon.UEBA - Exeon 的用户与实体行为分析 (UEBA) 解决方案,提供内置的 Sigma 检测引擎
- IBM QRadar - 通过 YARA 和 Sigma Rules Manager 应用程序原生接收 Sigma 规则以进行实时检测
- Joe Sandbox - 自动化恶意软件分析平台,在沙箱执行期间应用 Sigma 规则以检测行为日志中的威胁
- LimaCharlie - 具有原生 Sigma 规则支持并自动转换为其检测与响应规则格式的 SecOps 云平台
- MISP - 具有原生 Sigma 规则支持的开源威胁情报共享平台(自 2017 年 3 月版本 2.4.70 起)
- Nextron's Aurora Agent - 轻量级基于 Sigma 的 EDR 代理,使用 ETW 进行实时端点检测
- Nextron's THOR Scanner - 在端点上使用 Sigma 规则进行扫描
- RANK VASA - 基于 AI 的网络威胁检测平台,使用 Sigma 规则为 MSSP 识别安全异常
- Saeros - 用于 Windows 和 Active Directory 的开源 HIDS,通过 ETW 进行本地 Sigma 规则匹配
- Security Onion - 开源网络安全监控平台,具有内置的 Sigma 检测和每日自动规则更新
- Sekoia.io XDR - 支持 Sigma 和 Sigma 关联规则语言的 XDR
- sigma2stix - 将整个 SigmaHQ 规则集转换为 STIX 2.1 对象
- SIΣGMA - 利用 Sigma 进行查询转换的 SIEM 可消费生成器
- SOC Prime - 威胁检测市场,托管社区 Sigma 规则,并可转换为 25 种以上的 SIEM、EDR 和 XDR 平台
- TA-Sigma-Searches - Splunk 应用程序,提供从已转换的 Sigma 规则派生的已保存搜索
- TimeSketch - 开源协作取证时间线分析工具,使用 Sigma 规则标记和检测事件
- VirusTotal - 当样本匹配任何开源 Sigma 规则时,匹配的规则会作为文件报告的一部分显示
- ypsilon - 自动化用例测试
📜 维护者
- Nasreddine Bencherchali (@nas_bench)
- Florian Roth (@cyb3rops)
- Christian Burkard (@phantinuss)
- François Hubaut (@frack113)
- Thomas Patzke (@blubbfiction)
- Mohamed Ashraf (@X__Junior)
- Swachchhanda Shrawan Poudel (@_swachchhanda_)
致谢
本项目的成就离不开数百位贡献者的帮助。感谢所有过去和现在的贡献者所提供的支持。
许可证
本仓库的内容基于 Detection Rule License (DRL) 1.1 许可协议发布。