Sigma 열 시트
Sigma는 똑똑똑한 방식으로 로그 이벤트를 설명할 수 있는 일반적인 서명 형식입니다. 보안 분석가가가를 사용하여 감지 규칙을 한 번 작성하고 다양한 SIEM 형식으로 변환하여 다른 보안 플랫폼에서 위협 감지 휴대용을 만듭니다.
## 설치 및 설치
### Python 설치
**Install Sigma 도구:**
카지노사이트
** 출처에서:**
카지노사이트
### Docker 설치
**Docker 설정:**
카지노사이트
## Sigma 규칙 구조
### 기본 규칙 형식
** 표준 시그마 규칙:**
카지노사이트
### 회사 소개
**Metadata 필드:**
카지노사이트
**로그 소스 정의:**
카지노사이트
**Detection 논리:**
카지노사이트
## 검출 패턴
### 선택 패턴
**기본 선택:**
카지노사이트
**다중 선택:**
카지노사이트
**키워드 목록:**
카지노사이트
### 필드 Modifiers
**모터링:**
ο 회원 관리
탐지:
선택:
# Less than
가공|lt: 1000
# Greater than
파일 크기|gt: 1048576
# Greater than or equal
이벤트ID|gte: 4624
# Less than or equal
로그아웃 유형|lte: 10
### Advanced Conditions
**Complex Logic:**
```yaml의 경우
탐지:
sel_suspicious_process:
이미지|endswith:
- 다운로드 이름 *
- 다운로드 이름 *
sel_suspicious_args:
CommandLine|콘텐츠:
- '-EncodedCommand'에 대해 이름 *
- 다운로드 이름 *
sel_network:
여행 정보 항구:
- 80명
- 443명
조건: sel_suspicious_process 및 sel_suspicious_args 및 sel_network
**Time-based Conditions:**
```yaml의 경우
탐지:
선택:
이벤트ID: 4624
로고 유형: 3
| 조건: 선택 | count() by TargetUserName > 5 | timeframe 5개 m |
**Command Line Analysis:**
```yaml의 경우
이름: Encoded 힘 쉘 명령
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
CommandLine|콘텐츠: '-EncodedCommand 이름 *
조건: 선택
수준: 높은
### File System Rules
**Suspicious File Creation:**
```yaml의 경우
title: 스타트업 폴더에서 실행
로그 소스:
카테고리: file_event
제품: 창
탐지:
선택:
TargetFilename|콘텐츠: '시작' 이름 *
TargetFilename|엔드: '.exe'
조건: 선택
수준: 높은
## Conversion and Deployment
### Convert Rules to SIEM Formats
**Splunk Conversion:**
```bash의 경우
# 단일 규칙을 변환
sigma 변환 -t splunk rule.yml
# 여러 규칙을 변환
sigma 변환 -t splunk 규칙/*.yml
# 사용자 정의 config로 변환
sigma 변환 -t splunk -c splunk-windows.yml 규칙.yml
# 파일로 출력
sigma 변환 -t splunk rule.yml -o splunk_query.txt
**QRadar Conversion:**
```bash의 경우
# QRadar AQL로 변환
sigma 변환 -t qradar 규칙.yml
# 변환 와 field mapping
sigma 변환 -t qradar -c qradar-fields.yml 규칙.yml
### Backend Configurations
**Custom Backend Config:**
```yaml의 경우
# splunk-custom.yml의 장점
제목: 사용자 정의 Splunk 구성
순서: 20
백업 :
- 스파이크
로그 소스:
창:
카테고리: process_creation
상태:
이벤트: 1
수정 :
제품: 창
서비스: sysmon
필드 매핑:
이미지: process_name
명령줄: process_command_line
ProcessId: 프로세스_id
ο 회원 관리
# 필드 매핑.yml
제목: 사용자 정의 필드 매핑
필드 매핑:
# Windows Security Events
EventID: 이벤트_id
제품정보 사용자 이름: user_name
소스네트워크 주소: src_ip
대상 포트: dest_port
# Sysmon Events
이미지: process_path
명령줄: command_line
프로세스: pid
학부모 아이: ppid
**Rule Testing:**
```bash의 경우
# 시험 변환
sigma 변환 -t splunk rule.yml --드리-런
# 샘플 데이터로 테스트
sigma 테스트 rule.yml --data 샘플_logs.json
# Debug 규칙 논리
sigma 변환 -t splunk rule.yml - 디버그
**Reduce False Positives:**
```yaml의 경우
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
CommandLine|콘텐츠: 'DownloadString 이름 *
필터:
사용자|콘텐츠: 'SYSTEM'
부모이미지|endswith: '\services.exe 이름 *
상태: 선택 및 필터
**Rule Metadata Management:**
```yaml의 경우
# 일관된 tagging 사용
태그 :
- 공격.execution
- 공격.t1059.001
- 검색 결과
- 플랫폼.windows
- 데이터_source.process_monitoring
**Rule Review Process:**
```bash의 경우
# 시작하기 전에
sigma 체크 규칙/창/process_creation/*.yml
# 표적 SIEM에 시험 변환
sigma 변환 -t splunk 규칙/windows/process_creation/new_rule.yml
# 자주 묻는 질문
grep -r "제목 :" 규칙 /|그럼 "Suspicious PowerShell"
### SIEM Integration
**Splunk Integration:**
```bash의 경우
#!/bin/bash
# 배포하기-splunk.sh
RULES_DIR=rules/창"
SPLUNK_CONFIG="configs/splunk-windows.yml"의 구성
OUTPUT_DIR="splunk_searches" 를 검색
# Splunk에 규칙을 변환
$RULES_DIR/*.yml의 규칙을 위해; 할
rule_name=$(기본값 "$rule" .yml)
sigma 변환 -t splunk -c $SPLUNK_CONFIG "$rule" > "$OUTPUT_DIR/$\{rule_name\}.spl"
이름 *
# REST API를 통해 Splunk에 배포
에서 검색 $OUTPUT_DIR/*.spl; 할
search_name=$(기본값 "$search" .spl)
컬 -k -u admin:password \
-d "name=$search_name"\
-d "search=$(cat $search)" \
₢ 킹
이름 *
수입 os
수입 yaml
Elasticsearch 수입 Elasticsearch에서
sigma.cli.convert 가져 오기 Convert_rule
def deploy_sigma_rules_to_elasticsearch():
"""Deploy Sigma 규칙 as Elasticsearch Watcher alerts"""
es = Elasticsearch ('localhost:9200'])
규칙_dir = 'rules/linux 이름 *
os.listdir (rules_dir)의 rule_file에 대한:
if rule_file.endswith('.yml'):
rule_path = os.path.join(rules_dir, 규칙_파일)
# Convert Sigma rule to Elasticsearch query
es_query = convert_rule(rule_path, 'elasticsearch')
# Create Watcher alert
open(rule_path, 'r') 으로 f:
규칙_data = yaml.safe_load(f)
엠에디터 도움말
"trigger": \{
"schedule": \{"interval": "5m"\}
이름 *
"입력": \{
"검색": \{
"request": \{
"search_type": "query_then_fetch",
"indices": ["logs-*"],
이름 *
"query": es_query의
이름 *
이름 *
이름 *
이름 *
"조건": \{
" 비교": \{
"ctx.payload.hits.total": \{"gt": 0\}
이름 *
이름 *
"actions": \{
"log_alert": \{
로그인
"text": f"Sigma 규칙 트리거 : \{rule_data['title']\}"
이름 *
이름 *
이름 *
이름 *
# Deploy to Elasticsearch
규칙_id = rule_data['id']
es.watcher.put_watch(id=rule_id, body=watcher_config)에 대해
**Statistical Analysis:**
```yaml의 경우
title: Unusual Process 실행 볼륨
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
이미지|endswith: '\powershell.exe 이름 *
조건: 선택|금() 컴퓨터 > avg(count()) ※ 3
시간 구조: 1h
레벨: 중간
### Custom Functions
**Custom Detection Logic:**
```yaml의 경우
제목 : Entropy 기반 Suspicious String Detection
로그 소스:
카테고리: process_creation
제품: 창
탐지:
선택:
명령줄: '*'
조건: 선택|entropy(CommandLine) > 6.5
레벨: 중간
**Conversion Problems:**
```bash의 경우
# 자주 묻는 질문
sigma 목록 백엔드
# backend 설정 확인
sigma 목록 modifiers -t splunk
# 최소 규칙을 가진 시험
sigma 변환 -t splunk -e 'detection: \{selection: \{EventID: 1\}, 조건: 선택 \} 이름 *
**Rule Analysis:**
```bash의 경우
# Analyze 규칙 적용
sigma 분석 규칙/ --coverage
# 자주 묻는 질문
sigma 분석 규칙/ --duplicates
# 성능 분석
sigma 분석 규칙/ --performance
This comprehensive Sigma cheatsheet covers rule development, conversion, deployment, and advanced features for effective threat detection across multiple SIEM platforms.
# Base64 encoded
| CommandLine | base64offset | contains: 'powershell' |
**Numeric Modifiers:**
카지노사이트
### 고급 조건
** 컴플렉스 논리: **
카지노사이트
** 교회 조건:**
카지노사이트
**시간 기반 조건:**
카지노사이트
## 규칙 카테고리
### 프로세스 생성 규칙
**Suspicious Process 실행:**
카지노사이트
**컴맨드 라인 분석:**
카지노사이트
### 네트워크 연결 규칙
**Suspicious 아웃 바운드 연결 : **
카지노사이트
### 파일 시스템 규칙
**Suspicious 파일 생성 : **
카지노사이트
### 등록 규칙
**지역:**
오프화이트
## 변환 및 배포
### SIEM 형식으로 규칙을 변환
**Splunk 변환:**
카지노사이트
** 탄성 / ECS 변환:**
오프화이트
**QRadar 변환:**
카지노사이트
**Microsoft Sentinel 변환:**
카지노사이트
### 백엔드 구성
** 사용자 정의 백엔드 구성: **
카지노사이트
** Field 매핑 : **
카지노사이트
## 규칙 개발
### 시험 규칙
**Rule 유효성: 더 보기
카지노사이트
**Rule 테스트:**
카지노사이트
### 규칙 최적화
**Performance 최적화:**
Reduce False Positives: ```의 경우
**Reduce False 긍정적 : **
## Rule Management
### Rule Collections
**Organize Rules by Category:**
```에 대하여
## 규칙 관리
### 규칙 수집
** 범주에 의해 규칙을 활용: **
Rule Metadata Management: ```의 경우
Rule 메타데이터 관리:
### Version Control
**Git Workflow:**
```에 대하여
### 버전 제어
**Git Workflow:**
Rule Review Process: ```의 경우
**Rule 검토 과정: ** 카지노사이트
통합 예제
CI/CD 파이프라인
GitHub 작업 흐름: 카지노사이트
사이트맵 통합
Splunk 통합: 카지노사이트
**Elasticsearch 통합: ** 카지노사이트
고급 기능
의회 규칙
Count 기반 탐지: 카지노사이트
** 통계 분석:** 카지노사이트
관련 규칙
다단계 공격 감지:
### Custom Functions
**Custom Detection Logic:**
```의 경우
### 사용자 정의 기능
** 사용자 정의 검색 논리 : **
Troubleshooting
Common Issues
Rule Validation Errors: ```의 경우
문제 해결
일반적인 문제
**Rule 검증 오류 : ** 카지노사이트
** 변환 문제:**
**Performance Issues:**
```의 경우
**Performance 문제:**
Debugging
Debug Mode: ```를 호출합니다.
관련 링크
** 디버그 모드:**
**Rule Analysis:**
```의 경우
**Rule 분석:**