來源:https://github.com/SigmaHQ/sigma/wiki/Rule-Creation-Guide
https://github.com/SigmaHQ/sigma/wiki/Taxonomy
Sigma是一個非常靈活的標準,有很多可選領域。本指南將幫助您創(chuàng)建一個Sigma規(guī)則,它與我們存儲庫中的其他社區(qū)規(guī)則保持一致。
一、規(guī)則模板
最好的方法是使用與您計劃編寫的內容相近的現(xiàn)有規(guī)則。
確保以下字段在你想推送到公共存儲庫的規(guī)則中設置:
title: a short capitalised title with less than 50 characters
id: generate one here https://www.uuidgenerator.net/version4
status: experimental
description: A description of what your rule is meant to detect
references:
? ? - A list of all references that can help a reader or analyst understand the meaning of a triggered rule
tags:
? ? - attack.execution? # example MITRE ATT&CK category
? ? - attack.t1059? ? ? # example MITRE ATT&CK technique id
? ? - car.2014-04-003? # example CAR id
author: Michael Haag, Florian Roth, Markus Neis? # example, a list of authors
date: 2018/04/06? # Rule date
logsource:? ? ? ? ? ? ? ? ? ? ? # important for the field mapping in predefined or your additional config files
? ? category: process_creation? # In this example we choose the category 'process_creation'
? ? product: windows? ? ? ? ? ? # the respective product
detection:
? ? selection:
? ? ? ? FieldName: 'StringValue'
? ? ? ? FieldName: IntegerValue
? ? ? ? FieldName|modifier: 'Value'
? ? condition: selection
fields:
? ? - fields in the log source that are important to investigate further
falsepositives:
? ? - describe possible false positive conditions to help the analysts in their investigation
level: one of five levels (informational, low, medium, high, critical)
二、常見缺點
1、標題
不要在標題中使用像“檢測”這樣的前綴。
使用少于50個字符的短標題作為警示名稱
為描述保留任何解釋
使用標題大小寫(例如:'可疑的PowerShell命令行'Suspicious PowerShell CommandLine而不是'可疑的PowerShell命令行'Suspicious powershell commandline)
壞的例子:
在不應該包含可執(zhí)行文件的Windows文件夾中檢測進程執(zhí)行 Detects a process execution in a Windows folder that shouldn't contain executables(不必要的前綴,太長,全部小寫,包含解釋)
檢測進程注入 Detects process injection (不必要的前綴,太通用,首字符小寫)
好的例子:
Process Injection Using Iexplore.exe
Suspicious PowerShell Cmdline with JAB
Certutil Lolbin Decode Use
2、ID
沒有任何已知的陷阱。我們在repo中使用可選字段id來提供一個永不更改的惟一標識符,而該規(guī)則的所有其他字段值可能會隨著時間的推移而更改。您可以簡單地在此網(wǎng)頁上以UUID的形式創(chuàng)建一個ID。
3、狀態(tài)Status
每一個新規(guī)則都是實驗性的。經(jīng)過幾個月的高效使用,并且沒有任何來自社區(qū)的負面反饋,它得到了狀態(tài)測試。在使用了大約1年之后,除了過濾器沒有進行重大修改,我們將規(guī)則歸為穩(wěn)定規(guī)則。
4、描述Description
最好的描述從檢測....開始。請不要只使用選定的標題。試著盡可能好地描述當規(guī)則觸發(fā)時它意味著什么。看到這種規(guī)則觸發(fā)的分析師應該很好地理解匹配可能表明什么。
壞的例子:
規(guī)則檢測w3wp.exe生成bitsadmin.exe
新的whoami進程開始
好的例子:
檢測IIS web服務器服務可疑執(zhí)行后臺傳輸服務
檢測whoami的執(zhí)行,它可能是管理活動的一部分,但也經(jīng)常被利用某些本地特權升級或遠程代碼執(zhí)行漏洞的攻擊者使用。whoami命令顯示當前用戶上下文。管理員通常知道他們使用哪個用戶登錄。攻擊者在成功利用后通常需要評估用戶上下文。
5、參考文獻References
值必須是一個列表。
只使用網(wǎng)頁或文檔的鏈接。
不要鏈接到EVTX文件,PCAPs或其他原始內容
不包括MITRE ATT&CK技術的鏈接(我們使用標簽)
列表中使用的鏈接可以是:
鏈接到博客文章或tweet
鏈接到某個hack工具的項目頁面
鏈接到一個內置Windows工具的手冊頁
報告的鏈接
鏈接到更好地解釋檢測到的威脅的討論
6、作者Author
作者字段是字符串,而不是列表
用逗號分隔的多個作者組合
如果你使用特殊字符@作為twitter的句柄,你必須使用上引號,例如author: '@cyb3rops'
你可在括號內加上供款類別,例如:作者:“約翰·高爾(想法),弗洛里安·羅斯(規(guī)則)”
7、日期
我們在公共規(guī)則中使用可選字段date來顯示規(guī)則的創(chuàng)建日期,而不需要使用git-log。更改一個已經(jīng)在主分支中發(fā)布的規(guī)則,需要使用一個名為modified的新字段來指示初始規(guī)則的修改。
我們使用格式YYYY/MM/DD或%Y/%m/%d作為Python的strftime指令。
更改修改日期的原因:
改變標題
變化檢測部分
改變等級
改變logsource(罕見)
對于所有其他字段值的更改,不需要更改修改日期。
8、標簽
在我們的公共規(guī)則集中,我們使用MITRE ATT&CK、CAR和CVE數(shù)字標簽。
例子
標簽:
——attack.credential_access
——attack.t1003.002
——car.2013 - 07 - 001
——cve.2020.10189
只使用小寫標記
我們使用。或-作為標簽名稱中的分隔符
將空格替換為下劃線_
9、日志源
這部分比較難。有兩種選擇:
(1)日志源已經(jīng)存在
(2)在我們的repo中沒有一條針對該日志源的規(guī)則
在案例1中,請使用這些規(guī)則中的一個作為模板。在情況2中,檢查不同文件夾中的現(xiàn)有規(guī)則,以了解在本節(jié)中可以使用的三個標識符的使用情況:
產品(如linux、windows、cisco)
服務(如sysmon, ldapd, dhcp)
類別(如process_creation)
請注意,這些標識符是在sigmac(舊)或[pySigma](https://github.com/SigmaHQ/pySigma/)(新)使用的。/tools/config中的配置文件中使用的,用于將特定日志源的字段映射到規(guī)則中使用的字段。如果你創(chuàng)建了一個新的日志源,如果你能在所有當前配置文件中為不同的后端(qradar, helk, splunk等)添加適當?shù)挠成洌蔷吞昧恕7駝t其他用戶或我們的維護者就得這么做。
10、檢測
檢測部分是非常靈活的,但是我們在這個部分中看到了一些常見的錯誤或樣式問題,這些問題需要維護者重新定義。
如果列表只包含一個元素,則不要使用列表(參見下面的示例)
只使用小寫標識符
如果你喜歡的話,可以把注釋放在行中(使用兩個空格來分隔表達式和注釋,例如- 'cmd.exe' # command line)
不要使用正則表達式,除非你真的必須(例如,代替CommandLine|re: '\\payload。*\skeyset'使用CommandLine|包含|所有的值\有效負載和keyset)。
在新的源中使用日志源中出現(xiàn)的字段名稱,刪除空格并保留連字符(例如SAMUserAccount變成SAMUserAccount)
不要在您的條件中使用特定于SIEM的邏輯
創(chuàng)建一個拉請求(所有的拉請求都會被自動檢查是否有語法錯誤、是否符合我們的標準以及是否有誤報)
11、反斜杠
反斜杠在Sigma中有兩個功能:
(1)反斜杠作為普通值
(2)反斜杠作為前綴來轉義具有特殊含義的字符:反斜杠\本身,以及通配符*和?。
以這種方式處理反斜杠有一個好處,即包含單個反斜杠(常見情況)的值可以以普通方式表示。另一方面,一些極端情況需要額外的轉義:
只包含單個反斜杠的值可以用普通方式表示:C:\Windows\System32\cmd.exe
不要用反斜杠轉義單個反斜杠,從前面的例子中寫入普通值,而不是C:\\Windows\\System32\\cmd.exe。
如果你想表達兩個普通的反斜杠,可以使用其中的四個:\\\\foo\bar的結果值為\\foo\bar。
如果你想要兩個反斜杠,可以寫\\\\
如果你想要一個普通的通配符*作為結果值,寫\*。
如果您想要一個普通的反斜杠后跟一個通配符*作為結果值,那么寫入\\*。
如果你想要一個純反斜杠后跟一個純*作為結果值,寫\\\*。
請注意,反斜杠在正則表達式中有特殊的語義。在某些情況下,像普通值一樣需要更多的反斜杠。例子:
CommandLine|re: ...\\Microsoft...
結果:轉義的M (\M)。在許多目標系統(tǒng)使用的perl兼容的正則表達式中,這是無效的,并會在新的Sigmatools中導致錯誤。解決辦法:
CommandLine|re: ...\\\\Microsoft...
12、值修飾符
盡管在技術上可以任意鏈接值修飾符,但并不是所有的組合都有意義。應遵循以下排序規(guī)則:
添加通配符的修飾符(以with開頭、以with結尾和包含)后面不能跟著編碼修飾符(base64, base64offset),因為它們自己也會對通配符進行編碼,導致其特殊功能的丟失。
值修飾符鏈不能以字符集編碼修飾符(utf16, utf16le, utf16be和wide)結束。產生的值在內部表示為字節(jié)序列而不是文本字符串,并且包含在查詢中通常難以處理的空字符。因此,后面應該有一個編碼修飾符(base64, base64offset)。
通常,將re類型修飾符與其他修飾符組合在一起是沒有意義的。
一般來說,所有修飾符都可以放在任意位置,因為所有修飾符都可以處理單值和列表,但按照慣例,這個修飾符應該放在末尾。
一些常見的組合是:
|contains|all:列表中的所有值都包含在日志值中。這對于以順序無關的方式表示命令行參數(shù)非常有用。
|utf16|base64offset|包含:value是Base64編碼的utf16,可以包含在值的任何位置(例如作為更大的Base64值的一部分)。
13、字段
這些字段在評估某一事件時非常有用。例如,知道一個進程的父進程的命令行參數(shù)中包含可疑字符串是有幫助的。
這些字段可以自動提取并呈現(xiàn)給分析人員,以加快分析速度。
14、假陽性
想想可能會觸發(fā)規(guī)則的假陽性條件。這個列表應該包含對分析師有用的提示。例如,注釋“刪除影子副本的合法進程”可以提示分析師檢查該系統(tǒng)上的備份進程,或詢問任何涉及刪除本地卷影子副本的異常管理活動。
15、等級
現(xiàn)有的四個級別可以進一步分為兩類。
具有信息特征的規(guī)則,應該以列表或條形圖的形式顯示(低、中)
應該觸發(fā)專用警報(高,嚴重)的規(guī)則
設置級別時請遵循以下原則:
關鍵級別的規(guī)則不應該觸發(fā)假陽性,并具有高度相關性
對于需要人工審查的高相關性威脅的高級別觸發(fā)規(guī)則(需要很少的假陽性>基線)
級別高和關鍵的規(guī)則表示事件(如果不是假陽性)
低級別和中等級別的規(guī)則表示可疑活動和違反策略
信息級規(guī)則具有信息性質,通常用于遵從性或相關性目的
16、工具
我們推薦使用visual Studio Codewith sigma Extension。
