sigma

راهنمای جامع قواعد sigma

زیگما (sigma) یک فرمت عام و open signature برای سیستم های Siem است که توسط فلوریان روث و توماس پتزکه برای اولین بار تولید شد. هدف اصلی پروژه ی ایجاد sigma rule ها فراهم آوردن یک ساختار منجم است که با استفاده از آن، محققان یا تحلیلگران امنیت بتوانند روش های تشخیص تهدیدی که تولید کرده اند را شرح داده و آن ها را با دیگران به اشتراک بگذارند. با استفاده از Sigma Rule می توانند تقریبا تمام الگو های یک حمله سایبری در هر log دخیره شده ای را شناسایی کنند.
در Sigma، معمولا از مورد اعتماد ترین روش ها مانند حل مشکلات logging signature استفاده می شود که این اجازه را به تحلیلگران می دهد که از آن ها چندین بار استفاده کرده و سازمان ها را قادر می سازد که آن ها را میان خود به استراک بگذارند. هم چنین از فرمت های پشتیبانی شده توسط Sigma rule می توان به موارد زیر اشاه کرد:
Splunk, QRadar, ArcSight, Elasticsearch (Elastalert, Query strings, DSL, Watcher, & Kibana), Logpoint

کاربردهای Sigma:

متخصصان شکار تهدید و تحلیلگران امنیت از Sigma برای آنالیز log ها و الگو های آن برای یافتن تهدیدات شناخته شده و ناشناخته استفاده می کنند. فرمت Sigma بسیار انعطاف پذیر است و به راحتی می توان قواعد آن را نوشت و بر تمام انواع log file ها اعمال کرد. در واقع، Sigma، تنها رویکرد Siem می باشد که از مکانیزم های یکسان یا بسیار مشابه در موقعیت های مختلف استفاده می کند. به عبارت دیگر، می توان Sigma را به عنوان یک استاندارد باز و در دسترس عموم تعریف کرد که با استفاده از آن، مکانیزم های تشخیص تهدید می توانند به راحتی توسط همگان تعریف، اشتراک گذاری و دریافت شود و از آن برای بهبود قابلیت های تشخیص تهدید تمام سازمان ها استفاده شود.

برخی از Use Case های مرتبط با Sigma rules:

  • تعریف روش های تشخیص تهدید و قابل دسترسی کردن آن ها
  • سرمایه گذاری بر تولید rule ها برای زیگما و استفاده از آن ها در بسیاری از سیستم ها از جمله SIEM
  • اشتراک signature به عنوان ضمیمه آنالیز امنیتی شما
  • استفاده از فرمت Sigma برای به اشتراک گذاری signature در جوامع هوش تهدید دیگر

مراحل استفاده از Rule:

Respository مربوط به Rule را دانلود یا کلون کنید
برای بررسی rule base به قسمت rulessub directiry/ مراجعه کنید
پوشه python sigmac-helpin/ tools را اجرا کرده تا راهنمای rule converter را دریافت کنید.
Rule مورد نظر خود را از مسیر زیر تبدیل (convert) کنید.
sigmaclike ./ sigmac -t splunk -c toolsconfig /generic /sysmon.yml. /rules /windows /process_creation /win_susp_whoami.yml
Rule directory خود را به صورت کامل از مسیر python sigmac -t splunk -r ../rules/proxy/ تبدیل کنید
اگر به filed یا log source شخصی سازی شده در محیط شبکه ی خود نیا دارید، به پوشه ی /tools/configfolder یا wiki مراجعه کنید.

 

برای کسب اطلاعات بیشتر در مورد Sigma، به وبسایت رسمی GitHub مراجعه کنید:

Generic Signature Format for SIEM Systems

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *