sigma:SIEM系统通用签名格式,3000+检测规则助力威胁检测与合规

Main Sigma Rule Repository

分支17Tags57
文件最后提交记录最后更新时间
1 天前
2 个月前
2 年前
2 年前
1 天前
1 天前
7 个月前
3 年前
1 天前
1 天前
1 天前
1 天前
1 天前
2 年前
3 年前
2 个月前
2 年前
21 天前
3 年前
21 天前
2 年前
1 个月前

Sigma - SIEM 系统通用签名格式


Sigma Logo


Sigma 构建状态 Sigma 官方徽章 GitHub 仓库星标数 GitHub 所有版本下载量
开源安全指数 - 增长最快的开源安全项目

欢迎来到 Sigma 主规则库。这里是检测工程师、威胁猎手以及所有防御性安全从业者协作开发检测规则的地方。本仓库提供超过 3000 条不同类型的检测规则,旨在让可靠的检测技术免费供所有人使用。

目前,该仓库提供以下五种类型的规则:

  • 通用检测规则 - 与具体威胁无关,其目的是检测某种行为,或某种技术、流程的实施方式,这些行为或方式过去、现在或将来可能被潜在的威胁行为者所利用。
  • 威胁狩猎规则 - 范围更广,旨在为分析师提供一个起点,以便搜寻潜在的可疑或恶意活动。
  • 新兴威胁规则 - 针对特定威胁的规则,在特定时期内具有时效性和相关性。这些威胁包括特定的 APT 攻击活动、零日漏洞利用、攻击中使用的特定恶意软件等。
  • 合规规则 - 帮助您基于 CIS Controls、NIST、ISO 27001 等知名安全框架识别合规违规情况的规则。
  • 占位符规则 - 在规则转换或使用时才获得最终含义的规则。

探索 Sigma

要开始探索 Sigma 生态系统,请访问官方网站 sigmahq.io

什么是 Sigma

Sigma 是一种通用且开放的签名格式,让您能够以直观的方式描述相关日志事件。该规则格式灵活性极高,易于编写,且适用于任何类型的日志文件。

本项目的主要目的是提供一种结构化形式,供研究人员或分析师描述其已开发的检测方法,并与他人共享。

Sigma 之于日志文件,正如 Snort 之于网络流量,YARA 之于文件。

Sigma 说明 - 显示 Yaml 文件(Sigma 规则)通过 Sigma 转换器,生成多种 SIEM 标志的图表,展示 Sigma 规则如何转换为多种不同的 SIEM 查询语言

为何选择 Sigma

如今,每个人都在收集日志数据进行分析。人们开始独立工作,研读大量白皮书、博客文章和日志分析指南,从中提取必要信息,构建自己的搜索和仪表板。他们的一些搜索和关联分析非常出色且实用,但缺乏一种标准化格式来与他人分享其成果。

还有一些人提供了出色的分析,包括用于检测恶意文件和网络连接的 IOC 和 YARA 规则,但无法在日志事件中描述特定或通用的检测方法。Sigma 旨在成为一种开放标准,用于定义、共享和收集此类检测机制,以提高所有人的检测能力。

🌟 主要特性

  • 不断增长的检测和狩猎规则列表,由专业检测工程师社区进行同行评审。
  • 与供应商无关的检测规则。
  • 易于在社区和报告间共享

🏗️ 规则创建

开始编写 Sigma 规则前,请查阅以下入门指南和 Sigma 规范:

🔎 贡献与提交 PR

有关如何开始贡献新规则的详细说明,请参考 贡献指南

📦 规则包

您可以从 发布页面 下载最新的规则包,并立即开始使用 Sigma 规则。新规则也会定期发布,因此请经常回来查看最新的检测规则。

🧬 规则使用与转换

  • 您可以使用以下工具立即开始转换 Sigma 规则:

  • 要将 Sigma 规则集成到您自己的工具链或产品中,请使用 pySigma

🚨 报告误报或新规则想法

如果您发现误报,或者想提出新的检测规则想法但没有时间创建,请通过选择可用模板之一,在 GitHub 仓库 上创建一个新问题。

💬 社区

加入 Discord 上的 Sigma 社区 Discord,讨论检测工程、提问、分享想法并与其他从业者协作。我们还会在 Discord 上发布新发布和其他项目更新等公告。

🌐 官方资源

📚 资源与延伸阅读

使用或集成 Sigma 规则的项目或产品

  • AlphaSOC - 利用 Sigma 规则提高所有支持的日志源的覆盖范围
  • alterix - 将 Sigma 规则转换为 CRYPTTECH SIEM 的查询语言
  • AttackIQ - Sigma 规则已集成到 AttackIQ 平台中,SigmAIQ 用于 Sigma 规则转换和 LLM 应用
  • Atomic Threat Coverage - 自动将 Sigma 规则映射到 MITRE ATT&CK 技术、Atomic Red Team 测试和事件响应手册(自 2018 年 12 月起)
  • ATR (Agent Threat Rules) - 用于 AI 代理安全威胁(提示注入、工具投毒、上下文泄露)的开放 MIT 许可检测规则格式。参考 CLI 通过 atr convert sigma 将 ATR 规则导出为 Sigma 格式。
  • AttackRuleMap - 将 Atomic Red Team 攻击模拟映射到开源 Sigma 检测规则,以进行覆盖评估
  • Confluent Sigma - Kafka Streams 支持的 Sigma 规则
  • Detection Studio - 将 Sigma 规则转换为任何受支持的 SIEM
  • Exeon.UEBA - Exeon 的用户与实体行为分析 (UEBA) 解决方案,提供内置的 Sigma 检测引擎
  • IBM QRadar - 通过 YARA 和 Sigma Rules Manager 应用程序原生接收 Sigma 规则以进行实时检测
  • Joe Sandbox - 自动化恶意软件分析平台,在沙箱执行期间应用 Sigma 规则以检测行为日志中的威胁
  • LimaCharlie - 具有原生 Sigma 规则支持并自动转换为其检测与响应规则格式的 SecOps 云平台
  • MISP - 具有原生 Sigma 规则支持的开源威胁情报共享平台(自 2017 年 3 月版本 2.4.70 起)
  • Nextron's Aurora Agent - 轻量级基于 Sigma 的 EDR 代理,使用 ETW 进行实时端点检测
  • Nextron's THOR Scanner - 在端点上使用 Sigma 规则进行扫描
  • RANK VASA - 基于 AI 的网络威胁检测平台,使用 Sigma 规则为 MSSP 识别安全异常
  • Saeros - 用于 Windows 和 Active Directory 的开源 HIDS,通过 ETW 进行本地 Sigma 规则匹配
  • Security Onion - 开源网络安全监控平台,具有内置的 Sigma 检测和每日自动规则更新
  • Sekoia.io XDR - 支持 Sigma 和 Sigma 关联规则语言的 XDR
  • sigma2stix - 将整个 SigmaHQ 规则集转换为 STIX 2.1 对象
  • SIΣGMA - 利用 Sigma 进行查询转换的 SIEM 可消费生成器
  • SOC Prime - 威胁检测市场,托管社区 Sigma 规则,并可转换为 25 种以上的 SIEM、EDR 和 XDR 平台
  • TA-Sigma-Searches - Splunk 应用程序,提供从已转换的 Sigma 规则派生的已保存搜索
  • TimeSketch - 开源协作取证时间线分析工具,使用 Sigma 规则标记和检测事件
  • VirusTotal - 当样本匹配任何开源 Sigma 规则时,匹配的规则会作为文件报告的一部分显示
  • ypsilon - 自动化用例测试

📜 维护者

致谢

本项目的成就离不开数百位贡献者的帮助。感谢所有过去和现在的贡献者所提供的支持。

许可证

本仓库的内容基于 Detection Rule License (DRL) 1.1 许可协议发布。

项目介绍

主Sigma规则库【此简介由AI生成】

定制我的领域
34210.68 K2.67 K访问 GitHub