|
本帖最后由 191196846 于 2022-6-27 10:51 编辑
*原反攻击规则已停止维护,项目迁移至Github并重写为火绒高级威胁防护规则。
项目地址:https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址:https://github.com/JerryLinLinLi ... les/releases/latest
规则文档:https://github.com/JerryLinLinLi ... ter/rules/README.md
火绒高级威胁防护规则
基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。
安装/导入规则
下载最新规则版本,解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json,在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。
新手上路
按照此图所示导入规则。
为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。
规则内容
规则目录
所有规则位于rules/目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族命名,例如Exploit.MSOffice。
每个子目录下含有规则文件rule.json、auto.json,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名,例如Exploit.MSOffice。
每条规则的具体用途可在各规则组文件夹下README.md找到,或在Rules根目录下找到。
目录结构如下
- .
- ├── Classification.Description1
- ├── Classification.Description2
- │ ├── rule.json
- │ ├── auto.json
- │ └── README.md
- └── README.md
复制代码
自动化脚本
位于scripts/目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。
- validate_rules.py - 验证规则文件,基于此schema
- usage: validate_rules.py [-h] --path PATH
- optional arguments:
- -h, --help show this help message and exit
- --path PATH folder path to check
复制代码
- merge_rules.py - 将规则组合并为一个文件,方便导入。
- usage: merge_rules.py [-h] --path PATH --output OUTPUT
- optional arguments:
- -h, --help show this help message and exit
- --path PATH rule folder path to merge
- --output OUTPUT output folder path
复制代码
- usage: md_parser.py [-h] --path PATH
- optional arguments:
- -h, --help show this help message and exit
- --path PATH rule folder path to generate markdown
复制代码
更新日志
详见每次发布日志
TO-DO: Add changelog.md
反馈/贡献
在开Issues或者PR前,请确保阅读contributing guidelines。
|
评分
-
查看全部评分
|