Threat Hunting – Regras SIGMA

Sigma é uma linguagem de regras para detectar eventos de segurança, é uma ferramenta opensource para análise de registros de segurança. Ela permite que os usuários escrevam regras de detecção de intrusão em uma linguagem simples que permitem detectar anomalias em eventos de log e identificar atividades suspeitas.

As regras Sigma podem ser usadas para detectar uma variedade de eventos de segurança, incluindo intrusões, atividade maliciosa, configurações de segurança incorretas e muito mais. Elas podem ser aplicadas a uma variedade de fontes de registro, incluindo logs de firewall, sistemas de detecção de intrusão (IDS) e registros de eventos de segurança (SIEM).

Uma vez que as regras Sigma são escritas, elas podem ser importadas em ferramentas de análise de registros de segurança, como o Elasticsearch, Logstash e Kibana (ELK Stack), ou o Graylog, para automatizar a detecção de eventos de segurança.

  • Graylog: Se você estiver usando o Graylog, pode importar a regra Sigma em formato JSON ou YAML no painel de configuração do Graylog. Depois de importar a regra, você pode ativá-la e começar a analisar os registros de segurança.
  • ELK Stack: Se você estiver usando o Elasticsearch, Logstash e Kibana (ELK Stack), pode importar a regra Sigma em formato JSON ou YAML no Kibana. Depois de importar a regra, você pode criar uma visualização ou relatório para exibir os resultados da busca.
  • OSSEC: OSSEC é outra ferramenta que suporta regras Sigma, você pode importar sua regra sigma no arquivo ossec.conf e depois reiniciar o OSSEC para que a regra seja aplicada.
  • SELKS: Se você estiver usando o SELKS, que é uma distribuição de segurança baseada em Debian, você pode importar a regra Sigma no Kibana e ativá-la para começar a analisar os registros de segurança.
  • Sigma2Elastalert: é uma ferramenta que permite importar regras Sigma para o ElastAlert, você pode importar as regras no arquivo de configuração e iniciar o ElastAlert para que as regras sejam aplicadas.

Além disso, a comunidade Sigma Rules é ativa e existe uma grande quantidade de regras já escritas e disponíveis para serem utilizadas, o que pode ser útil para quem está começando a trabalhar com essa ferramenta.

Aqui estão alguns exemplos de regras Sigma que podem ser usadas para detectar eventos de segurança específicos:

  1. Detecção de tentativas de login falhas:
title: Failed login attempts
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4625
  condition:
    - any:
      - equals:
          SubjectUserName: 'ANONYMOUS LOGON'
      - equals:
          SubjectUserName: 'NULL SID'
  1. Uma regra Sigma para detectar a presença de ransomware pode ser escrita da seguinte maneira::
title: Ransomware Detection
description: Detects indicators of ransomware activity on endpoint
author: Your Name
logsource:
  product: windows
  service: security
  definition: An event is generated when any process has been created or modified on the endpoint
condition:
  1 of them :
    - event_id: 1 
    - event_id: 4656 
    - event_id: 4658 
    - event_id: 4659
    - process_name: "*vssadmin.exe" OR 
      process_name: "*bcdedit.exe" OR 
      process_name: "*vssvc.exe" OR 
      process_name: "*vssvc.exe" OR 
      process_name: "*vswp.exe" OR 
      process_name: "*vswprv.exe"
    - file_name: "*\\AppData\\Local\\Temp\\*" OR 
      file_name: "*\\Local Settings\\Temp\\*" OR 
      file_name: "*\\Windows\\Temp\\*" OR 
      file_name: "*\\Temp\\*"
    - process_command_line: "*\\cmd.exe /c vssadmin.exe*" OR 
      process_command_line: "*\\cmd.exe /c bcdedit.exe*" OR 
      process_command_line: "*\\cmd.exe /c vssvc.exe*" OR 
      process_command_line: "*\\cmd.exe /c vssvc.exe*" OR 
      process_command_line: "*\\cmd.exe /c vswp.exe*" OR 
      process_command_line: "*\\cmd.exe /c vswprv.exe*"

Essa regra acima busca por eventos de criação ou modificação de processos nos logs do Windows Security, onde os processos são vssadmin.exe, bcdedit.exe, vssvc.exe, vswp.exe e vswprv.exe, e arquivos encontrados em diretórios temporários como AppData, Local Settings, Windows e Temp. Além disso, ela busca por comandos de linha de processo que contenham “cmd.exe /c” e os processos mencionados acima.

Lembre-se que essa regra é apenas uma amostra e pode precisar ser ajustada de acordo com as necessidades da sua rede e com as fontes de registro disponíveis. Além disso, é importante sempre validar e testar as regras antes de implementá-las.

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*