/Huorong-ATP-Rules

一款火绒增强HIPS自定义规则

Primary LanguagePythonGNU General Public License v3.0GPL-3.0

简体中文 | 繁體中文 | English

火绒高级威胁防护规则

Status GitHub Issues GitHub Pull Requests License

基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。

安装/导入规则

下载最新规则版本,解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json,在自动处理设置页面->导入->选择Auto.json

版本更新时请手动删除旧规则然后重新导入。

新手上路

按照此图所示导入规则。

为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。

规则内容

  • Office 漏洞攻击防护
  • 勒索防护
  • 无文件攻击防护
  • 流行恶意软件家族防护
  • ...详见规则文档

规则目录

所有规则位于rules/目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族命名,例如Exploit.MSOffice

每个子目录下含有规则文件rule.jsonauto.json,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名,例如Exploit.MSOffice

每条规则的具体用途可在各规则组文件夹下README.md找到,或在Rules根目录下找到。

目录结构如下

.
├── Classification.Description1
├── Classification.Description2
│   ├── rule.json
│   ├── auto.json
│   └── README.md
└── README.md

自动化脚本

位于scripts/目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。

  • validate_rules.py - 验证规则文件,基于此schema
usage: validate_rules.py [-h] --path PATH

optional arguments:
  -h, --help   show this help message and exit
  --path PATH  folder path to check
  • merge_rules.py - 将规则组合并为一个文件,方便导入。
usage: merge_rules.py [-h] --path PATH --output OUTPUT

optional arguments:
  -h, --help       show this help message and exit
  --path PATH      rule folder path to merge
  --output OUTPUT  output folder path
  • md_parser.py - 生成规则文档。
usage: md_parser.py [-h] --path PATH

optional arguments:
  -h, --help   show this help message and exit
  --path PATH  rule folder path to generate markdown

更新日志

详见每次发布日志

TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前,请确保阅读contributing guidelines