Sigma, formato de firma genérico para sistemas SIEM
|
Hoy todos recopilan datos de registros de seguridad para su análisis. Las personas comienzan a trabajar por su cuenta, procesan numerosos libros blancos, publicaciones de blog y pautas de análisis de registros, extraen la información necesaria y crean sus propias búsquedas y paneles. Algunas de sus búsquedas y correlaciones son geniales y muy útiles, pero carecen de un formato estandarizado en el que puedan compartir su trabajo con otros.

Otros proporcionan excelentes análisis, incluyen IOC y reglas YARA para detectar los archivos maliciosos y las conexiones de red, pero no tienen forma de describir un método de detección específico o genérico en los eventos de registro. Sigma pretende ser un estándar abierto en el que dichos mecanismos de detección se puedan definir, compartir y recopilar para mejorar las capacidades de detección para todos.
Sigma es un formato de firma genérico y abierto que le permite describir eventos de registro relevantes de una manera directa. El formato de la regla es muy flexible, fácil de escribir y aplicable a cualquier tipo de archivo de registro. El objetivo principal de este proyecto es proporcionar una forma estructurada en la que los investigadores o analistas puedan describir sus métodos de detección una vez desarrollados y hacerlos compartibles con otros. Sigma es para archivos de registro lo que Snort es para tráfico de red y YARA es para archivos.
Casos de uso:
- Describa su método de detección en Sigma para hacerlo exportable.
- Escriba sus búsquedas SIEM en Sigma para evitar el bloqueo de un proveedor.
- Comparta la firma en el apéndice de su análisis junto con los COI y las reglas de YARA.
- Comparta la firma en comunidades de inteligencia de amenazas, por ejemplo, a través de MISP.
- Proporcione firmas Sigma por comportamiento malicioso en su propia aplicación.
Herramientas Sigma:
Sigmac.
Sigmac convierte las reglas sigma en consultas o entradas de los objetivos admitidos que se enumeran a continuación. Actúa como una interfaz para la biblioteca Sigma que se puede utilizar para integrar el soporte de Sigma en otros proyectos. Además, existe lo merge_sigma.py
que combina múltiples documentos YAML de una colección de reglas Sigma en reglas Sigma simples.
Sigma2MISP.
Importar reglas Sigma a eventos MISP. Depende de PyMISP. Los parámetros que no se cambian con frecuencia ( --url
, --key
) pueden colocarse sin los guiones de prefijo “--”
en un archivo e incluirse “@filename”
como parámetro en la línea de comandos.
Evt2Sigma.
Evt2Sigma te ayuda con la creación de reglas. Genera una regla Sigma a partir de una entrada de registro.
Sigma2attack.
Genera un mapa de calor MITER ATT & CK Navigator a partir de un directorio que contiene reglas sigma.
Proyectos o productos que usan Sigma:
- SOC Prime – Sigma Rule Editor
- MISP (desde la versión 2.4.70, marzo de 2017).
- uncoder.io – Traductor en línea para búsquedas SIEM.
- THOR – Escanee con reglas Sigma en puntos finales.
- Joe Sandbox
- ypsilon – Prueba automatizada de casos de uso.
- RANK VASA
- TA-Sigma-Searches (Splunk App).
- TimeSketch
Más información y descarga de herramientas para Sigma: