Initial commit with detection configurations and Mordor APT log datasets

Author: kbugra

.github/workflows/sigma_pipeline.yml

@@ -0,0 +1,52 @@
+name: Detection as Code Factory
+
+# Bu robot ne zaman çalışacak? (Ana dala kod itildiğinde veya PR açıldığında)
+on:
+  push:
+    branches:
+      - main
+  pull_request:
+    branches:
+      - main
+  workflow_dispatch:
+
+jobs:
+  sigma-ci-cd:
+    runs-on: ubuntu-latest
+    
+    steps:
+      - name: 1. Kodu GitHub'dan Çek
+        uses: actions/checkout@v3
+
+      - name: 2. Python Ortamını Kur
+        uses: actions/setup-python@v4
+        with:
+          python-version: '3.10'
+
+      - name: 3. Sigma CLI ve Eklentilerini Yükle
+        run: |
+          pip install sigma-cli
+          sigma plugin install splunk
+          sigma plugin install elasticsearch
+          sigma plugin install sysmon
+
+      - name: 4. Kuralları Test Et (Syntax & Linting)
+        run: |
+          echo "Kuralların yapısı kontrol ediliyor..."
+          sigma check rules/sigma/
+
+      - name: 5. Kuralları SIEM Dillerine Çevir (Build Aşaması)
+        run: |
+          mkdir -p build/splunk build/elastic
+          echo "Splunk SPL'e dönüştürülüyor..."
+          sigma convert -t splunk -p sysmon rules/sigma/ > build/splunk/windows_detections.spl
+          
+          echo "Elasticsearch Query'e dönüştürülüyor..."
+          sigma convert -t lucene -p sysmon rules/sigma/ > build/elastic/windows_detections.txt
+
+      - name: 6. Üretilen Kodları Göster (Loglar için)
+        run: |
+          echo "==== ÜRETİLEN SPLUNK SORGUSU ===="
+          cat build/splunk/windows_detections.spl
+          echo -e "\n==== ÜRETİLEN ELASTICSEARCH SORGUSU ===="
+          cat build/elastic/windows_detections.txt

.gitignore

@@ -0,0 +1,9 @@
+.vscode/
+__pycache__/
+*.exe
+*.dll
+*.log
+build/
+.env
+tests/dataset/T1053.005_Scheduled_Task/schtasks_create.json
+tests/dataset/T1053.005_Scheduled_Task/

README.md

@@ -0,0 +1,46 @@
+# 🛡️ Detection-as-Code (DaC) Factory: Sigma Pack for Windows Security
+
+> **Transforming threat hunting from a manual task into a continuous engineering pipeline.**
+
+## 🚀 Proje Vizyonu (Ruleset Philosophy)
+Modern Güvenlik Operasyon Merkezleri (SOC), kural yazımını ve test süreçlerini manuel olarak yönetmenin ötesine geçmelidir. Bu proje, geleneksel SIEM sorgu yazarlığını bir **Yazılım Mühendisliği (CI/CD)** disiplinine dönüştürmek amacıyla "Detection-as-Code" (DaC) felsefesiyle inşa edilmiştir. 
+
+Amacımız; platform bağımsız (vendor-agnostic) Sigma kuralları yazmak, bu kuralları sektör standardı olan **Mordor APT simülasyon logları** ile otomatik olarak test etmek ve GitHub Actions aracılığıyla saniyeler içinde Splunk (SPL) ve Elasticsearch (Lucene/KQL) dillerine dönüştürmektir.
+
+## 🏗️ Sistem Mimarisi (Pipeline Otomasyonu)
+
+1. **Code:** Yeni tehdit istihbaratı (CTI) YAML formatında (Sigma) yazılır.
+2. **Commit:** Kod GitHub'a pushlanır.
+3. **CI/CD (GitHub Actions):** - YAML syntax kontrolü yapılır (Linting).
+   - Mantıksal doğrulama gerçekleştirilir.
+   - Kurallar otomatik olarak `/build` klasörüne **Splunk** ve **Elasticsearch** dilleri için derlenir (Build).
+4. **Deploy:** Üretilen sorgular SIEM sistemlerine entegre edilmeye hazırdır.
+
+## 🎯 MITRE ATT&CK Kapsam Matrisi (Coverage Matrix)
+
+Mevcut tespit kurallarımızın kapsadığı taktik ve teknikler aşağıda haritalandırılmıştır:
+
+| Tactic | Technique ID | Technique Name | Sigma Rule | Status |
+| :--- | :--- | :--- | :--- | :---: |
+| **Credential Access** | `T1003.001` | LSASS Memory Dumping | `proc_access_win_lsass_susp_access.yml` | 🟢 Active |
+| **Execution** | `T1059.001` | PowerShell | `proc_creation_win_powershell_encoded.yml` | 🟢 Active |
+| **Persistence** | `T1053.005` | Scheduled Task/Job | `proc_creation_win_schtasks_creation.yml` | 🟢 Active |
+| **Impact** | `T1490` | Inhibit System Recovery (Ransomware) | `proc_creation_win_vssadmin_delete_shadows.yml` | 🟢 Active |
+
+## 🧪 Altın Veri Seti (Golden Dataset) İle Doğrulama
+Bu projede tekerleği yeniden icat etmemek ve endüstri standartlarında kalibrasyon sağlamak için **OTRF Mordor** açık kaynak veri seti kullanılmıştır. Kurallarımız, `/tests/dataset/` dizinindeki gerçek dünya (APT29 vb.) simülasyonlarına ait loglar üzerinde kalite kontrolünden (Security QA) geçmektedir.
+
+## 🛠️ Nasıl Çalıştırılır?
+
+Projeyi kendi ortamınızda test etmek veya SIEM sorgularını üretmek için:
+
+```bash
+# Bağımlılıkları yükleyin
+pip install sigma-cli
+sigma plugin install splunk azure
+
+# Tüm kuralları Splunk'a dönüştürün
+sigma convert -t splunk -p sysmon rules/sigma/
+
+# Elasticsearch için dönüştürün
+sigma convert -t lucene -p sysmon rules/sigma/

rules/sigma/proc_access_win_lsass_susp_access.yml

@@ -0,0 +1,28 @@
+title: Suspicious Access to LSASS Process
+id: 32d0d3e2-e58d-4d41-926b-18b520b2b32d
+status: experimental
+description: Detects suspicious access to the LSASS process, which is often an indicator of credential dumping tools like Mimikatz.
+author: Senin Adın
+date: 2026-03-20
+tags:
+    - attack.credential_access
+    - attack.t1003.001
+logsource:
+    category: process_access
+    product: windows
+    # Sysmon Event ID 10 (ProcessAccess) loglarına bakacağımızı belirtiyoruz
+detection:
+    selection:
+        TargetImage|endswith: '\lsass.exe'
+        GrantedAccess: 
+            - '0x1010'
+            - '0x1410'
+            - '0x143a'
+            - '0x1f0fff'
+    filter_system:
+        # Yanlış pozitifleri (False Positive) önlemek için sistemin kendi normal işlemlerini hariç tutuyoruz
+        SourceImage|startswith: 'C:\Windows\System32\'
+    condition: selection and not filter_system
+falsepositives:
+    - Antivirüs yazılımlarının LSASS taramaları (Eğer varsa SourceImage kısmına eklenmeli)
+level: high

rules/sigma/proc_creation_win_powershell_encoded.yml

@@ -0,0 +1,25 @@
+title: Suspicious PowerShell Encoded Command
+id: 3d304fda-78aa-43ed-975c-d740798a49c1
+status: experimental
+description: Detects the use of encoded commands in PowerShell, a common technique used by malware and attackers to evade detection.
+author: kbugra
+date: 2026-03-20
+tags:
+    - attack.execution
+    - attack.t1059.001
+logsource:
+    category: process_creation
+    product: windows
+detection:
+    selection:
+        Image|endswith:
+            - '\powershell.exe'
+            - '\pwsh.exe'
+        CommandLine|contains:
+            - ' -enc '
+            - ' -EncodedCommand '
+            - ' -ec '
+    condition: selection
+falsepositives:
+    - Yönetici (Admin) tarafından çalıştırılan meşru otomasyon scriptleri
+level: high

rules/sigma/proc_creation_win_schtasks_creation.yml

@@ -0,0 +1,26 @@
+title: Suspicious Scheduled Task Creation
+id: 92626ddd-662c-49e3-ac59-f6535f12d189
+status: experimental
+description: Detects the creation of a new scheduled task using schtasks.exe, often used by attackers for persistence.
+author: kbugra
+date: 2026-03-20
+tags:
+    - attack.persistence
+    - attack.t1053.005
+logsource:
+    category: process_creation
+    product: windows
+detection:
+    selection:
+        Image|endswith: '\schtasks.exe'
+        CommandLine|contains|all:
+            - '/create'
+            - '/tn'
+            - '/tr'
+    filter:
+        # SCCM veya Windows update gibi sistem işlemlerini hariç tutabiliriz
+        User: 'NT AUTHORITY\SYSTEM'
+    condition: selection and not filter
+falsepositives:
+    - Meşru yazılım kurulumları veya sistem güncellemeleri
+level: medium

rules/sigma/proc_creation_win_vssadmin_delete_shadows.yml

@@ -0,0 +1,22 @@
+title: Ransomware Behavior - Deleting Shadow Copies
+id: c947b146-0abc-4c87-9c64-b17e9d7274a2
+status: experimental
+description: Detects the deletion of volume shadow copies via vssadmin.exe, a critical precursor to ransomware encryption.
+author: Senin Adın
+date: 2026-03-20
+tags:
+    - attack.impact
+    - attack.t1490
+logsource:
+    category: process_creation
+    product: windows
+detection:
+    selection:
+        Image|endswith: '\vssadmin.exe'
+        CommandLine|contains|all:
+            - 'delete'
+            - 'shadows'
+    condition: selection
+falsepositives:
+    - Çok nadir olarak yetkili sistem yöneticisi (SysAdmin) bakımları
+level: critical

tests/dataset/T1053.005_Scheduled_Task_Persistence/schtasks_create.json

@@ -0,0 +1 @@
+{"EventID": 1, "ProviderGuid": "{5770385f-c22a-43e0-bf4c-06f5698ffbd9}", "Image": "C:\\Windows\\System32\\schtasks.exe", "CommandLine": "schtasks.exe /create /tn \"WindowsUpdate\" /tr \"C:\\Windows\\Temp\\malware.exe\" /sc onstart /ru System", "User": "NT AUTHORITY\\SYSTEM", "ProcessId": 2048, "ParentImage": "C:\\Windows\\System32\\cmd.exe", "UtcTime": "2023-10-25 16:45:12.000", "Computer": "WORKSTATION-01.local"}