深入了解Sigma規則以及如何編寫自己的威脅檢測規則

作者：12306Br0 2022-07-05 08:41:28

與YARA、Snort規則一樣，Sigma是一種通用且開放的簽名格式，以直接的方式描述相關的日志事件。規則格式非常靈活，易于編寫，適用于任何類型的日志文件。Sigma提供了一種結構化的形式，研究人員或分析師可以在其中描述他們曾設計開發的檢測方法，并與其他安全人員共享。

Sigma是一種檢測語言

本文將講述如何借助Sigma，利用社區的力量來對關鍵威脅和新的攻擊技術做出快速反應。

隨著SIEM的普及，大多數企業會選擇購買或者構建一套適用于自己企業環境的SIEM系統。對于IT系統和網絡的攻擊都將會被記錄下來，并存儲在SIEM系統或者其他日志存儲和分析平臺，這使得SIEM成為檢測入侵者的一個重要工具。SIEM檢測規則集在早期存在于廠商或特定平臺的數據庫中。如今，對最新安全事件的檢測和分析的需求日益增長，要求不同的廠商能夠共享檢測情報。Sigma解決了這一問題，使查詢規則集與廠商平臺無關。

Sigma允許防御者使用通用語言共享檢測結果

Sigma滿足各種用例：

Sigma已成為一種通用語言，在研究人員和情報人員之間分享研究成果，如發現、識別新的攻擊行為。
安全團隊可以避免局限于單一平臺，即通過在Sigma定義規則，可以更輕松地在不同平臺之間切換。
Sigma擁有眾多檢測方法，可開箱即用。
利用Sigma與其他威脅情報機構共享簽名。

Sigma規則可以轉換為不同的SIEM平臺支持的搜索查詢語句格式，支持以下SIEM平臺：

Splunk
ElasticSearch Query Strings and DSL
Kibana
Microsoft Defender Advanced Threat Protection (MDATP)
Azure Sentinel
QRadar
LogPoint
Qualys
RSA NetWitness
LimaCharlie
ArcSight
PowerShell and Grep
......

使用Sigma

Sigma是一個開源項目，有三個主要組成部分：

通用Sigma規則格式的語言規范。
Sigma簽名的開放存儲庫，包含針對多個攻擊者行為和技術的1000多條規則。
Sigmac是一個轉換實用程序，用于把Sigma規則轉為不同的SIEM工具所支持的搜索查詢語句。

獲取存儲庫

首先，從GitHub下載Sigma庫。

git clone https://github.com/SigmaHQ/sigma.git

了解Sigma規則

Sigma規則是用YAML編寫的，它定義了在系統日志中查找的內容和位置。每個Sigma規則還可以指定元數據，例如：規則的作者、唯一規則標識符 (UUID)、MITRE ATT&CK技術和參考。

Sigma支持以下日志類型：

防火墻日志
Web應用程序日志
代理/VPN網絡日志
操作系統日志

事件日志

進程創建和審核日志

系統事件

以存儲庫中的Sigma規則/sigma/rules/windows/process_creationproc_creation_win_cmd_delete.yml為例，此規則檢測使用Windows Cmd命令刪除文件。

title: Windows Cmd Delete File
id: 379fa130-190e-4c3f-b7bc-6c8e834485f3
status: experimental
description: `
  Adversaries may delete files left behind by the actions of their intrusion activity.
  Malware, tools, or other non-native files dropped or created on a system by an adversary may leave traces to indicate to what was done within a network and how.
  Removal of these files can occur during an intrusion, or as part of a post-intrusion process to minimize the adversary's footprint.`
author: frack113
date: 2022/01/15
references:
    - https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1070.004/T1070.004.md
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        - CommandLine|contains|all:
            - 'del'
            - /f
        - CommandLine|contains|all:
            - rmdir
            - /s
            - /q
    condition: selection
falsepositives:
    - Legitimate script
level: low
tags:
    - attack.defense_evasion
    - attack.t1070.004

每個規則 (yml) 都有以下部分：

title(標題)：規則的名稱。Windows Cmd Delete File。
id：唯一標識規則的UUID。379fa130-190e-4c3f-b7bc-6c8e834485f3。
status(狀態)：experimental或者normal，在這種情況下，它是一個experimental規則。experimental
description(描述)：解釋規則的上下文。Adversaries may delete files left behind by the actions of their intrusion activity.Malware, tools, or other non-native files dropped or created on a system by an adversary may leave traces to indicate to what was done within a network and how.Removal of these files can occur during an intrusion, or as part of a post-intrusion process to minimize the adversary's footprint
author(作者)：關于規則創建者的元數據。frack113
date(時間)：規則的創建日期。2022/01/15
references(參考)：參考鏈接到解釋問題的博客文章或推文。https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1070.004/T1070.004.md
logsource(日志來源)：用于范圍搜索，支持各種組合。windows

category(類別)：描述規則類別。process_creation

detection(檢測)：在日志數據、關鍵字、時間范圍和條件、類型的特定字段中的搜索值。這里尋找命令行中包含del、/f，或者命令行中包含rmdir、/s、/q。
selection(選擇)：在條件中鏈接的選擇項。
condition(條件)：判斷滿足哪些選擇。selection
falsepositives(誤報)：描述字段，用于解釋哪些事件或情況可能觸發導致誤報的規則。Legitimate script
level(級別)：嚴重級別低、中、高或嚴重。low
tags(標簽)：ATT&CK標簽。attack.defense_evasion，attack.t1070.004。

深入了解Sigma

Logsource字段：Sigma YAML中的logsource字段描述了要應用檢測的日志數據。Logsource schema如下，它可以使用以下三個屬性中的一個或多個：

logsource:
   category [optional]
   product [optional]
   service [optional]
   definition [optional]

category(類別)：

用于選擇某個系列產品生成的所有日志，例如：防火墻和Web服務器日志。

類別示例包括：防火墻、防病毒、EDR、Web。

product(產品)：

用于選擇特定產品生成的所有日志，例如：Windows、Apache。

產品類型可以更進一步劃分，例如：Windows日志類型可分為安全日志、系統日志、應用日志、和Windows Defender日志等。

service(服務)：

僅用于選擇產品日志的子集，例如：Windows系統上的安全事件日志。

常見的logsource格式示例。

logsource: 
  product: linux
  service: audit
...

logsource:
  product: security
  service: windows
...

logsource:
  product: zeek
  service: kerberos

detection(檢測)字段：

本節包含一組搜索標識符，表示對日志數據的搜索及其各自的評估機制，由兩個屬性控制：selection(選擇)和condition(條件)。

selection(選擇)：搜索日志數據的標識符。
condition(條件)：定義如何評估選擇或過濾。

檢測可以由兩種不同的數據結構組成：Lists和Maps。

List YAML類型中包含多個基于字符串的搜索參數，應用于日志數據，并用邏輯"OR"鏈接。

例如，此檢測將匹配日志中是否包含以下列表中的任何一個值。

detection:
  keywords:
    - 'nmap'
    - 'sqlmap'
    - 'nessus'
    - 'awvs'
    - 'python2.7'
  condition: keywords

Maps YAML類型由鍵/值對組成，如：字典，其中鍵是日志數據中的字段，值是字符串或整數值。

映射列表用邏輯“OR”連接。映射的所有元素都用邏輯"AND"連接

例如，在下面的示例中，如果ImageLoaded鍵包含以下任何值列表，則匹配成功。

logsource:
    product: windows
    category: driver_load
detection:
    selection:
        ImageLoaded|contains:
            - 'fgexec'
            - 'dumpsvc'
            - 'cachedump'
            - 'mimidrv'
            - 'gsecdump'
            - 'servpw'
            - 'pwdump'
    condition: selection

這里，選擇(搜索標識符)匹配日志數據中的ImageLoaded字段，并使用轉換修飾符(|contains)檢查列出的關鍵字是否存在。

下面列出了一些修飾符:

contains
all
base64
endswith
startswith

還可以使用通配符來匹配日志數據中的大量關鍵字。例如，找到rundll32.exe的執行日志，使用\*rundll32.exe即可，而不是通過指定的路徑或命令行參數來進行查找。

對于condition(條件)，可以使用以下語句來搜索標識符:

合乎邏輯的and/or操作
選擇其中的1個或全部選擇，eg:1 of selectionorall of selection
使用not，eg:not selection
使用括號對表達式進行分組。eg:(selection1 and selection2 and selection3) or selection4

在下面的示例中，如果觸發了條件中的selection1、selection2、selection3，并且沒有匹配filter中的任何一項，則會輸出匹配結果。

detection:
  selection1:
    ParentImage|endswith:
      - '\winlogon.exe'
      - '\services.exe'
      - '\lsass.exe'
      - '\csrss.exe'
      - '\smss.exe'
      - '\wininit.exe'
      - '\spoolsv.exe'
      - '\searchindexer.exe'
  selection2:
    Image|endswith:
      - '\powershell.exe'
      - '\cmd.exe'
  selection3:
    User|contains: # covers many language settings
      - 'AUTHORI'
      - 'AUTORI'
  filter:
    CommandLine|contains|all:
      - ' route '
      - ' ADD '
  condition: selection1 and selection2 and selection3 and not filter
fields:
  - ParentImage
  - Image
  - User
  - CommandLine

編譯Sigma規則

為了將Sigma規則轉換為任何SIEM平臺所支持的搜索查詢語句，必須使用Sigma編譯器sigmac，這是Sigma本身附帶的基于python的工具。

yyds@12306Br0:~/sigma/tools$ python3 sigmac
Nothing to do!
usage: sigmac [-h] [--recurse] [--filter FILTER]
              [--target {humio,elastalert,ala-rule,kibana,sentinel-rule,xpack-watcher,ee-outliers,graylog,crowdstrike,sql,logiq,carbonblack,mdatp,netwitness-epl,netwitness,datadog-logs,streamalert,es-rule-eql,es-rule,splunkdm,uberagent,opensearch-monitor,fireeye-helix,devo,powershell,es-qs-lr,elastalert-dsl,es-eql,qradar,es-dsl,csharp,ala,hawk,grep,qualys,limacharlie,splunk,logpoint,splunkxml,sumologic,fortisiem,sqlite,fieldlist,stix,chronicle,sumologic-cse,sumologic-cse-rule,kibana-ndjson,hedera,sysmon,lacework,arcsight,arcsight-esm,es-qs,athena}]
              [--lists] [--lists-files-after-date LISTS_FILES_AFTER_DATE]
              [--config CONFIG] [--output OUTPUT]
              [--output-fields OUTPUT_FIELDS] [--output-format {json,yaml}]
              [--output-extention OUTPUT_EXTENTION] [--print0]
              [--backend-option BACKEND_OPTION]
              [--backend-config BACKEND_CONFIG] [--backend-help BACKEND_HELP]
              [--defer-abort] [--ignore-backend-errors] [--verbose] [--debug]
              [inputs ...]

sigmac可以將規則轉換為想要執行查詢的SIEM平臺支持的搜索查詢語句，如Splunk、Qualys和Qradar等。sigmac還使用字段映射將規則中使用的字段轉換為將要執行查詢的平臺內的實際字段。

要查看所有可用的目標、配置，運行以下命令即可：

python3 sigmac --lists

編譯一個規則

為了轉換為可支持的任何SIEM平臺的搜索查詢語句格式，可通過-t配置為可支持的任何SIEM平臺，-c設置正確的字段映射:

$python3 sigmac -t splunk -c splunk-windows ~/sigma/rules/windows/process_creation/proc_creation_win_cmdkey_recon.yml

((Image="*\\cmdkey.exe" OR OriginalFileName="cmdkey.exe") (CommandLine="* /l*" OR CommandLine="* -l*")) | table CommandLine,ParentCommandLine,User

這樣就可以得到一個編譯后的規則，在Splunk上查找cmdkey查看緩存憑證的執行情況。

可以選擇監控這些類型的日志，并利用這些日志來檢測攻擊者：

操作系統日志

賬戶身份認證

大量的登錄失敗

特殊賬戶的變更和使用，以及SID歷史

進程創建和執行

在非正常的位置執行

可疑的進程關系

具有未知哈希的已知可執行文件

已知惡意哈希

資源訪問

windows事件

不常見的服務設施

新的域信任關系

網絡：端口掃描，主機發現

代理日志
Web服務器訪問日志

4xx 錯誤：可能是掃描探測行為

5xx 錯誤：可能是利用行為

應用程序錯誤日志

異常或其他特定的消息。eg:可疑的SQL錯誤消息

挑戰：編寫自己的Sigma規則

接下來將學習如何編寫Sigma規則，并在實際的SIEM平臺上運用。建議在本地構建一套小型仿真威脅狩獵平臺，在此基礎上可以嘗試模擬一些攻擊行為，并構建自己的檢測規則。

用于檢測創建本地用戶賬戶的Sigma規則

MITRE ATT&CK中提到的創建用戶，攻擊者可能會創建一個本地帳戶來維持對被攻擊系統的訪問。本地帳戶是由組織配置供用戶、遠程支持、服務使用或用于管理單個系統或服務的帳戶。有了足夠的權限，可使用net user /add命令創建本地用戶帳戶。

Microsoft Windows [版本 6.1.7601]
版權所有 (c) 2009 Microsoft Corporation。保留所有權利。

C:\Windows\system32>net user admin.123 admin1 /add
命令成功完成。

此時可以為我們的Sigma規則構建一個基礎框架。

title: 創建本地用戶賬戶行為
status: test
description: 使用net user /add命令創建本地用戶帳戶
references: 
  - https://attack.mitre.org/techniques/T1136/001/
date: 2022/06/27
author: 狂徒張三
level: low

分析windows安全日志，是否記錄了用戶賬戶創建。windows安全日志4720記錄了已創建用戶賬戶admin.123。

可將windows安全事件ID4720作為條件，來檢測是否存在創建本地用戶賬戶行為。完整的規則如下：

title: 創建本地用戶賬戶行為
status: test
description: 使用net user /add命令創建本地用戶帳戶
references: 
  - https://attack.mitre.org/techniques/T1136/001/
date: 2022/06/27
author: 狂徒張三
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4720 #已創建用戶帳戶。
    condition: selection
fields:
    - EventCode
    - AccountName
    - AccountDomain
falsepositives:
    - 域控制器日志
    - 由特權帳戶管理工具管理的本地用戶賬戶
level: low

關于檢測使用net user /add命令創建用戶賬戶行為，還可以通過windows安全事件日志4688中的進程名稱及命令行參數進行檢測。

最后，編寫Sigma規則后，使用sigmac將sigma規則轉換為其他SIEM平臺所支持的格式。

(source="WinEventLog:Security" EventCode="4720") | table EventCode,AccountName,AccountDomain

((Image="*\\net.exe" OR Image="*\\net1.exe") CommandLine="*user*" CommandLine="*add*") | table ComputerName,User,CommandLine

責任編輯：武曉燕來源： FreeBuf.COM

Sigma 日志事件開發