Sigma 열 시트¶
Sigma는 똑똑똑한 방식으로 로그 이벤트를 설명할 수 있는 일반적인 서명 형식입니다. 보안 분석가가가를 사용하여 감지 규칙을 한 번 작성하고 다양한 SIEM 형식으로 변환하여 다른 보안 플랫폼에서 위협 감지 휴대용을 만듭니다.
## 설치 및 설치
### Python 설치
**Install Sigma 도구:**
카지노사이트
** 출처에서:**
카지노사이트
### Docker 설치
**Docker 설정:**
카지노사이트
## Sigma 규칙 구조
### 기본 규칙 형식
** 표준 시그마 규칙:**
카지노사이트
### 회사 소개
**Metadata 필드:**
카지노사이트
**로그 소스 정의:**
카지노사이트
**Detection 논리:**
카지노사이트
## 검출 패턴
### 선택 패턴
**기본 선택:**
카지노사이트
**다중 선택:**
카지노사이트
**키워드 목록:**
카지노사이트
### 필드 Modifiers
**모터링:**
ο 회원 관리
탐지:
선택:
# Less than
가공|lt: 1000
# Greater than
파일 크기|gt: 1048576
# Greater than or equal
이벤트ID|gte: 4624
# Less than or equal
로그아웃 유형|lte: 10
**Aggregation Conditions:**
```yaml의 경우
탐지:
선택:
이벤트ID: 4625
제품정보 사용자 이름: '*'
조건: 선택|count(TargetUserName) by SourceNetwork주소 > 10대
## Rule Categories
### Process Creation Rules
**Suspicious Process Execution:**
```yaml의 경우
title: Temp Directory의 Suspicious Process
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
이미지|startswith:
- 'C:\템\ 이름 *
- 'C:\Users\*\AppData\Local\Temp\ 이름 *
이미지|endswith: '.exe'
조건: 선택
레벨: 중간
### Network Connection Rules
**Suspicious Outbound Connections:**
```yaml의 경우
title: Suspicious 도메인에 연결
로그 소스:
카테고리: network_connection
제품: 창
탐지:
선택:
시작: 'true 이름 *
DestinationHostname|엔드:
- 카지노사이트
- 사이트맵 이름 *
- 이름 * 이름 *
조건: 선택
레벨: 중간
### Registry Rules
**Registry Persistence:**
```yaml의 경우
제목: 레지스트리 실행 키 수정
로그 소스:
범주: 레지스트리_event
제품: 창
탐지:
선택:
제품정보 개체|콘텐츠:
- '\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 이름 *
- '\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ 이름 *
조건: 선택
레벨: 중간
**Elastic/ECS Conversion:**
```bash의 경우
# Elasticsearch로 변환 질문 DSL
sigma 변환 -t elasticsearch rule.yml
# ECS 형식으로 변환
sigma 변환 -t elasticsearch -c ecs-cloudtrail.yml 규칙.yml
# Kibana로 변환
sigma 변환 -t kibana rule.yml
**Microsoft Sentinel Conversion:**
```bash의 경우
# KQL로 변환
sigma 변환 -t microsoft365defender 규칙.yml
# Azure Sentinel로 변환
sigma 변환 -t azure-sentinel rule.yml
## Rule Development
### Testing Rules
**Rule Validation:**
```bash의 경우
# 유효 규칙 구문
sigma 체크 규칙.yml
# 여러 규칙을 검증
sigma 체크 규칙/*.yml
# 자주 묻는 질문
sigma 체크 -t splunk 규칙. 사이트맵
# Verbose 검증
sigma 체크 -v 규칙.yml
### Rule Optimization
**Performance Optimization:**
```yaml의 경우
# wildcards 대신 특정 필드 일치를 사용
탐지:
선택:
# Good - specific match
이벤트ID: 4624
로고 유형: 3
# Avoid - too broad
# EventData|contains: 'logon'
조건: 선택
## Rule Management
### Rule Collections
**Organize Rules by Category:**
```bash의 경우
규칙/
├─ 창문/
│ ── 프로세스_creation/
│ ── 네트워크_연결/
│ ── 파일_event/
│ ── 레지스트리_event/
├── 리눅스/
│ ── 프로세스_creation/
│ ── 네트워크_연결/
└─ 구름/
├─ 아쉬/
├─ 아즈레/
└─ gcp/
### Version Control
**Git Workflow:**
```bash의 경우
# 새로운 규칙에 대한 기능 지점 만들기
git checkout -b 기능/새로운 탐지
# 규칙 파일 추가
git은 규칙/창/process_creation/suspicious_powershell.yml를 추가합니다
# 본문 바로가기
git commit -m "다양한 PowerShell 실행에 대한 탐지 추가"
# 푸시 및 생성 풀 요청
git push Origin 기능/새로운 검출-rule
## Integration Examples
### CI/CD Pipeline
**GitHub Actions Workflow:**
```yaml의 경우
이름: Sigma 규칙 검증
에: [push, pull_request]
작업:
유효성:
실행에: ubuntu-latest
단계:
- 용도: 행동/checkout@v2
- 이름: Setup Python
용도: 동작/설정-python@v2
이름:
python 버전: "3.9"
- 이름: Sigma 설치
실행: pip 설치 sigma-cli
- 이름: 유효한 규칙
실행:|
규칙/ -이름 "*.yml" -exec sigma check \{\} \;
- 이름: 시험 변환
실행:|
sigma 변환 -t splunk 규칙/windows/process_creation/*.yml
sigma 변환 -t elasticsearch 규칙/linux/process_creation/*.yml
**Elasticsearch Integration:**
## Advanced Features
### Aggregation Rules
**Count-based Detection:**
```yaml의 경우
제목: 여러 실패 로그온
로그 소스:
범주: 인증
제품: 창
탐지:
선택:
이벤트ID: 4625
제품정보 사용자 이름: '*'
조건: 선택|count(TargetUserName) by SourceNetwork주소 > 55,000원
시간 구조: 5m
레벨: 중간
### Correlation Rules
**Multi-stage Attack Detection:**
```yaml의 경우
제목: Credential Dumping는 옆 운동에 의해 따릅니다
로그 소스:
카테고리: process_creation
제품: 창
탐지:
단계1:
이미지|endswith: 'mimikatz.exe 이름 *
CommandLine|콘텐츠: 'sekurlsa::logonpasswords 이름 *
단계2:
이미지|endswith: '\psexec.exe 이름 *
CommandLine|콘텐츠: '\\\\*'
상태: stage1는 stage2에 의해 뒤에
시간 구조: 30m
수준: 높은
## Troubleshooting
### Common Issues
**Rule Validation Errors:**
```bash의 경우
# YAML 구문 확인
python -c "import yaml; yaml.safe_load (open ('rule.yml'))"
# Validate Sigma 규칙 구조
sigma 체크 규칙.yml -V
# 본문 바로가기
sigma 변환 -t splunk rule.yml - 디버그
**Performance Issues:**
```bash의 경우
# Profile 규칙 변환
시간 sigma 변환 -t splunk 규칙/*.yml
# 자주 묻는 질문
grep -c "조건 :" 규칙.yml
grep -c "|"룰.yml # 카운트 조절기
# Optimize 규칙 구조
sigma 변환 -t splunk rule.yml --선택
__CODE_BLOCK_43_bash의 경우
# Enable debug 로깅
sigma 변환 -t splunk rule.yml - 디버그
# Verbose 산출
sigma 변환 -t splunk rule.yml -V
# 건조한 뛰기 형태
sigma 변환 -t splunk rule.yml --드리-런
### Advanced Conditions
**Complex Logic:**
```yaml의 경우
탐지:
sel_suspicious_process:
이미지|endswith:
- 다운로드 이름 *
- 다운로드 이름 *
sel_suspicious_args:
CommandLine|콘텐츠:
- '-EncodedCommand'에 대해 이름 *
- 다운로드 이름 *
sel_network:
여행 정보 항구:
- 80명
- 443명
조건: sel_suspicious_process 및 sel_suspicious_args 및 sel_network
**Time-based Conditions:**
```yaml의 경우
탐지:
선택:
이벤트ID: 4624
로고 유형: 3
조건: 선택|count() by TargetUserName > 5|timeframe 5개 m
**Command Line Analysis:**
```yaml의 경우
이름: Encoded 힘 쉘 명령
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
CommandLine|콘텐츠: '-EncodedCommand 이름 *
조건: 선택
수준: 높은
### File System Rules
**Suspicious File Creation:**
```yaml의 경우
title: 스타트업 폴더에서 실행
로그 소스:
카테고리: file_event
제품: 창
탐지:
선택:
TargetFilename|콘텐츠: '시작' 이름 *
TargetFilename|엔드: '.exe'
조건: 선택
수준: 높은
## Conversion and Deployment
### Convert Rules to SIEM Formats
**Splunk Conversion:**
```bash의 경우
# 단일 규칙을 변환
sigma 변환 -t splunk rule.yml
# 여러 규칙을 변환
sigma 변환 -t splunk 규칙/*.yml
# 사용자 정의 config로 변환
sigma 변환 -t splunk -c splunk-windows.yml 규칙.yml
# 파일로 출력
sigma 변환 -t splunk rule.yml -o splunk_query.txt
**QRadar Conversion:**
```bash의 경우
# QRadar AQL로 변환
sigma 변환 -t qradar 규칙.yml
# 변환 와 field mapping
sigma 변환 -t qradar -c qradar-fields.yml 규칙.yml
### Backend Configurations
**Custom Backend Config:**
```yaml의 경우
# splunk-custom.yml의 장점
제목: 사용자 정의 Splunk 구성
순서: 20
백업 :
- 스파이크
로그 소스:
창:
카테고리: process_creation
상태:
이벤트: 1
수정 :
제품: 창
서비스: sysmon
필드 매핑:
이미지: process_name
명령줄: process_command_line
ProcessId: 프로세스_id
ο 회원 관리
# 필드 매핑.yml
제목: 사용자 정의 필드 매핑
필드 매핑:
# Windows Security Events
EventID: 이벤트_id
제품정보 사용자 이름: user_name
소스네트워크 주소: src_ip
대상 포트: dest_port
# Sysmon Events
이미지: process_path
명령줄: command_line
프로세스: pid
학부모 아이: ppid
**Rule Testing:**
```bash의 경우
# 시험 변환
sigma 변환 -t splunk rule.yml --드리-런
# 샘플 데이터로 테스트
sigma 테스트 rule.yml --data 샘플_logs.json
# Debug 규칙 논리
sigma 변환 -t splunk rule.yml - 디버그
**Reduce False Positives:**
```yaml의 경우
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
CommandLine|콘텐츠: 'DownloadString 이름 *
필터:
사용자|콘텐츠: 'SYSTEM'
부모이미지|endswith: '\services.exe 이름 *
상태: 선택 및 필터
**Rule Metadata Management:**
```yaml의 경우
# 일관된 tagging 사용
태그 :
- 공격.execution
- 공격.t1059.001
- 검색 결과
- 플랫폼.windows
- 데이터_source.process_monitoring
**Rule Review Process:**
```bash의 경우
# 시작하기 전에
sigma 체크 규칙/창/process_creation/*.yml
# 표적 SIEM에 시험 변환
sigma 변환 -t splunk 규칙/windows/process_creation/new_rule.yml
# 자주 묻는 질문
grep -r "제목 :" 규칙 /|그럼 "Suspicious PowerShell"
### SIEM Integration
**Splunk Integration:**
```bash의 경우
#!/bin/bash
# 배포하기-splunk.sh
RULES_DIR=rules/창"
SPLUNK_CONFIG="configs/splunk-windows.yml"의 구성
OUTPUT_DIR="splunk_searches" 를 검색
# Splunk에 규칙을 변환
$RULES_DIR/*.yml의 규칙을 위해; 할
rule_name=$(기본값 "$rule" .yml)
sigma 변환 -t splunk -c $SPLUNK_CONFIG "$rule" > "$OUTPUT_DIR/$\{rule_name\}.spl"
이름 *
# REST API를 통해 Splunk에 배포
에서 검색 $OUTPUT_DIR/*.spl; 할
search_name=$(기본값 "$search" .spl)
컬 -k -u admin:password \
-d "name=$search_name"\
-d "search=$(cat $search)" \
₢ 킹
이름 *
수입 os
수입 yaml
Elasticsearch 수입 Elasticsearch에서
sigma.cli.convert 가져 오기 Convert_rule
def deploy_sigma_rules_to_elasticsearch():
"""Deploy Sigma 규칙 as Elasticsearch Watcher alerts"""
es = Elasticsearch ('localhost:9200'])
규칙_dir = 'rules/linux 이름 *
os.listdir (rules_dir)의 rule_file에 대한:
if rule_file.endswith('.yml'):
rule_path = os.path.join(rules_dir, 규칙_파일)
# Convert Sigma rule to Elasticsearch query
es_query = convert_rule(rule_path, 'elasticsearch')
# Create Watcher alert
open(rule_path, 'r') 으로 f:
규칙_data = yaml.safe_load(f)
엠에디터 도움말
"trigger": \{
"schedule": \{"interval": "5m"\}
이름 *
"입력": \{
"검색": \{
"request": \{
"search_type": "query_then_fetch",
"indices": ["logs-*"],
이름 *
"query": es_query의
이름 *
이름 *
이름 *
이름 *
"조건": \{
" 비교": \{
"ctx.payload.hits.total": \{"gt": 0\}
이름 *
이름 *
"actions": \{
"log_alert": \{
로그인
"text": f"Sigma 규칙 트리거 : \{rule_data['title']\}"
이름 *
이름 *
이름 *
이름 *
# Deploy to Elasticsearch
규칙_id = rule_data['id']
es.watcher.put_watch(id=rule_id, body=watcher_config)에 대해
**Statistical Analysis:**
```yaml의 경우
title: Unusual Process 실행 볼륨
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
조건: 선택|금() 컴퓨터 > avg(count()) ※ 3
시간 구조: 1h
레벨: 중간
### Custom Functions
**Custom Detection Logic:**
```yaml의 경우
제목 : Entropy 기반 Suspicious String Detection
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
명령줄: '*'
조건: 선택|entropy(CommandLine) > 6.5
레벨: 중간
This comprehensive Sigma cheatsheet covers rule development, conversion, deployment, and advanced features for effective threat detection across multiple SIEM platforms.
# Base64 encoded
CommandLine|base64offset|contains: 'powershell'
```로 Numeric Modifiers: 카지노사이트
고급 조건¶
** 컴플렉스 논리: ** 카지노사이트 ** 교회 조건:** 카지노사이트 시간 기반 조건: 카지노사이트
규칙 카테고리¶
프로세스 생성 규칙¶
Suspicious Process 실행: 카지노사이트 컴맨드 라인 분석: 카지노사이트
네트워크 연결 규칙¶
**Suspicious 아웃 바운드 연결 : ** 카지노사이트
파일 시스템 규칙¶
**Suspicious 파일 생성 : ** 카지노사이트
등록 규칙¶
지역: 오프화이트
변환 및 배포¶
SIEM 형식으로 규칙을 변환¶
Splunk 변환: 카지노사이트 ** 탄성 / ECS 변환:** 오프화이트 QRadar 변환: 카지노사이트 Microsoft Sentinel 변환: 카지노사이트
백엔드 구성¶
** 사용자 정의 백엔드 구성: ** 카지노사이트 ** Field 매핑 : ** 카지노사이트
규칙 개발¶
시험 규칙¶
Rule 유효성: 더 보기 카지노사이트 **Rule 테스트: 카지노사이트
규칙 최적화¶
Performance 최적화: ```
Reduce False Positives: ```의 경우
**Reduce False 긍정적 : **
## Rule Management
### Rule Collections
**Organize Rules by Category:**
```에 대하여
## 규칙 관리
### 규칙 수집
** 범주에 의해 규칙을 활용: **
Rule Metadata Management: ```의 경우
Rule 메타데이터 관리:
Rule Review Process: ```의 경우
**Rule 검토 과정: ** 카지노사이트
통합 예제¶
CI/CD 파이프라인¶
GitHub 작업 흐름: 카지노사이트
사이트맵 통합¶
Splunk 통합: 카지노사이트
**Elasticsearch 통합: ** 카지노사이트
고급 기능¶
의회 규칙¶
Count 기반 탐지: 카지노사이트
** 통계 분석:** 카지노사이트
관련 규칙¶
다단계 공격 감지:
Troubleshooting¶
Common Issues¶
Rule Validation Errors: ```의 경우
문제 해결¶
일반적인 문제¶
**Rule 검증 오류 : ** 카지노사이트
** 변환 문제:**
Debugging¶
Debug Mode: ```를 호출합니다.
관련 링크¶
** 디버그 모드:**