Sigma, formato de firma genérico para sistemas SIEM

Voiced by Amazon Polly
Comparte en redes sociales

Hoy todos recopilan datos de registros de seguridad para su análisis. Las personas comienzan a trabajar por su cuenta, procesan numerosos libros blancos, publicaciones de blog y pautas de análisis de registros, extraen la información necesaria y crean sus propias búsquedas y paneles. Algunas de sus búsquedas y correlaciones son geniales y muy útiles, pero carecen de un formato estandarizado en el que puedan compartir su trabajo con otros.

Otros proporcionan excelentes análisis, incluyen IOC y reglas YARA para detectar los archivos maliciosos y las conexiones de red, pero no tienen forma de describir un método de detección específico o genérico en los eventos de registro. Sigma pretende ser un estándar abierto en el que dichos mecanismos de detección se puedan definir, compartir y recopilar para mejorar las capacidades de detección para todos.

Sigma es un formato de firma genérico y abierto que le permite describir eventos de registro relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de archivo de registro. El objetivo principal de este proyecto es proporcionar una forma estructurada en la que los investigadores o analistas puedan describir sus métodos de detección una vez desarrollados y hacerlos compartibles con otros. Sigma es para archivos de registro lo que Snort es para tráfico de red y YARA es para archivos.

Casos de uso:

  • Describa su método de detección en Sigma para hacerlo exportable.
  • Escriba sus búsquedas SIEM en Sigma para evitar el bloqueo de un proveedor.
  • Comparta la firma en el apéndice de su análisis junto con los COI y las reglas de YARA.
  • Comparta la firma en comunidades de inteligencia de amenazas, por ejemplo, a través de MISP.
  • Proporcione firmas Sigma por comportamiento malicioso en su propia aplicación.

Herramientas Sigma:

Sigmac.

Sigmac convierte las reglas sigma en consultas o entradas de los objetivos admitidos que se enumeran a continuación. Actúa como una interfaz para la biblioteca Sigma que se puede utilizar para integrar el soporte de Sigma en otros proyectos. Además, existe lo merge_sigma.pyque combina múltiples documentos YAML de una colección de reglas Sigma en reglas Sigma simples.

Sigma2MISP.

Importar reglas Sigma a eventos MISP. Depende de PyMISP. Los parámetros que no se cambian con frecuencia ( --url--key) pueden colocarse sin los guiones de prefijo “--” en un archivo e incluirse “@filename” como parámetro en la línea de comandos.

Evt2Sigma.

Evt2Sigma te ayuda con la creación de reglas. Genera una regla Sigma a partir de una entrada de registro.

Sigma2attack.

Genera un mapa de calor MITER ATT & CK Navigator a partir de un directorio que contiene reglas sigma.

Proyectos o productos que usan Sigma:

Más información y descarga de herramientas para Sigma:

https://github.com/Neo23x0/sigma

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: