abril 23, 2020

Sigma, formato de firma genérico para sistemas SIEM

Voiced by Amazon Polly
Comparte en redes sociales

Hoy todos recopilan datos de registros de seguridad para su análisis. Las personas comienzan a trabajar por su cuenta, procesan numerosos libros blancos, publicaciones de blog y pautas de análisis de registros, extraen la información necesaria y crean sus propias búsquedas y paneles. Algunas de sus búsquedas y correlaciones son geniales y muy útiles, pero carecen de un formato estandarizado en el que puedan compartir su trabajo con otros.

Otros proporcionan excelentes análisis, incluyen IOC y reglas YARA para detectar los archivos maliciosos y las conexiones de red, pero no tienen forma de describir un método de detección específico o genérico en los eventos de registro. Sigma pretende ser un estándar abierto en el que dichos mecanismos de detección se puedan definir, compartir y recopilar para mejorar las capacidades de detección para todos.

Sigma es un formato de firma genérico y abierto que le permite describir eventos de registro relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de archivo de registro. El objetivo principal de este proyecto es proporcionar una forma estructurada en la que los investigadores o analistas puedan describir sus métodos de detección una vez desarrollados y hacerlos compartibles con otros. Sigma es para archivos de registro lo que Snort es para tráfico de red y YARA es para archivos.

Casos de uso:

  • Describa su método de detección en Sigma para hacerlo exportable.
  • Escriba sus búsquedas SIEM en Sigma para evitar el bloqueo de un proveedor.
  • Comparta la firma en el apéndice de su análisis junto con los COI y las reglas de YARA.
  • Comparta la firma en comunidades de inteligencia de amenazas, por ejemplo, a través de MISP.
  • Proporcione firmas Sigma por comportamiento malicioso en su propia aplicación.

Herramientas Sigma:

Sigmac.

Sigmac convierte las reglas sigma en consultas o entradas de los objetivos admitidos que se enumeran a continuación. Actúa como una interfaz para la biblioteca Sigma que se puede utilizar para integrar el soporte de Sigma en otros proyectos. Además, existe lo merge_sigma.pyque combina múltiples documentos YAML de una colección de reglas Sigma en reglas Sigma simples.

Sigma2MISP.

Importar reglas Sigma a eventos MISP. Depende de PyMISP. Los parámetros que no se cambian con frecuencia ( --url--key) pueden colocarse sin los guiones de prefijo “--” en un archivo e incluirse “@filename” como parámetro en la línea de comandos.

Evt2Sigma.

Evt2Sigma te ayuda con la creación de reglas. Genera una regla Sigma a partir de una entrada de registro.

Sigma2attack.

Genera un mapa de calor MITER ATT & CK Navigator a partir de un directorio que contiene reglas sigma.

Proyectos o productos que usan Sigma:

Más información y descarga de herramientas para Sigma:

https://github.com/Neo23x0/sigma

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: