Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:pisanje_sigma_pravila [2025/01/13 10:48]
Karamatić Roko [Primjer SIGMA pravila] 		racfor_wiki:seminari2024:pisanje_sigma_pravila [2025/01/26 23:00] (trenutno)
Karamatić Roko
Redak 1: Redak 1:
 ===== Pisanje SIGMA pravila ===== ===== Pisanje SIGMA pravila =====
 +
 +Poveznica na video prezentaciju: https://ferhr-my.sharepoint.com/:v:/g/personal/rk52980_fer_hr/EcBeVFc85PFAkYXBZTc4xCkBdRpkgb-S_E1cvmQ_gdG3Kg
  
 ===== Sažetak ===== ===== Sažetak =====
  
- +SIGMA pravila su pravila za detekcije prijetnji u kibernetičkoj sigurnosti napisana u čitljivom YAML format koji omogućuje fleksibilnost i prilagodbu specifičnim platformama. Njihova integracija u SIEM sustave omogućuje praćenje logova u stvarnom vremenu, brzo prepoznavanje sumnjivih aktivnosti i smanjenje rizika od sigurnosnih incidenata.
- +
- +
- +
- +
- +
  
 ===== Uvod ===== ===== Uvod =====
Redak 59: Redak 55:
 ===== Primjer SIGMA pravila ===== ===== Primjer SIGMA pravila =====
  
-{{ https://medium.com/@cloud_tips/sigma-rules-examples-568fd5d02d9a?200x50 }}**Slika 1:** SIGMA pravilo +{{ snimka_zaslona_2025-01-13_120208.png }} 
 +  Slika 1SIGMA pravilo
 Na slici 1 prikazan je primjer jednog SIGMA pravila napisanog u YAML formatu.  Na slici 1 prikazan je primjer jednog SIGMA pravila napisanog u YAML formatu. 
 Njegov naslov govori nam da će se pravilo koristiti za detekciju webshell aktivnosti na temelju specifičnih ključnih riječi u naredbenoj liniji. U opisu pravila detaljnije je pojašnjeno da je pravilo usmjereno na to da otkriva naredbe koje napadači često koriste kad "ispituju" sustav nakon što ostvare pristup putem webshella. Njegov naslov govori nam da će se pravilo koristiti za detekciju webshell aktivnosti na temelju specifičnih ključnih riječi u naredbenoj liniji. U opisu pravila detaljnije je pojašnjeno da je pravilo usmjereno na to da otkriva naredbe koje napadači često koriste kad "ispituju" sustav nakon što ostvare pristup putem webshella.
Redak 69: Redak 65:
 "Selection" označava skup uvjeta koje treba pronaći u logovima: "Selection" označava skup uvjeta koje treba pronaći u logovima:
    EventLog: "Microsoft-Windows-Sysmon/Operational" nam govori da tražimo događaje iz Sysmon kanala “Operational”.    EventLog: "Microsoft-Windows-Sysmon/Operational" nam govori da tražimo događaje iz Sysmon kanala “Operational”.
-   EventID: 1 je ID događaj u Sysmonu koji označava kreiranje novog procesa, zapravo tražimo logove o pokretanju procesa+   EventID: 1 je ID događaj u Sysmonu koji označava kreiranje novog procesa, zapravo tražimo logove o pokretanju procesa.
    ParentImage: “\apache” “\tomcat” gleda polje ParentImage, tj. ime procesa koji je pokrenuo novi proces. Webshell se obično izvodi kroz takve servise jer se napadač “ubaci” u web poslužitelj.    ParentImage: “\apache” “\tomcat” gleda polje ParentImage, tj. ime procesa koji je pokrenuo novi proces. Webshell se obično izvodi kroz takve servise jer se napadač “ubaci” u web poslužitelj.
    CommandLine: U ovom polju se provjeravaju naredbe koje se nalaze na komandnoj liniji novopokrenutog procesa. Naredbe "whoami", "net user" i "ping -n" vrlo su česte prilikom ovakvih napada.    CommandLine: U ovom polju se provjeravaju naredbe koje se nalaze na komandnoj liniji novopokrenutog procesa. Naredbe "whoami", "net user" i "ping -n" vrlo su česte prilikom ovakvih napada.
Redak 75: Redak 71:
  condition: "selection" govori da je uvjet za pokretanje detekcije ispunjen ako su svi navedeni kriteriji iz selection dijela zadovoljeni.  condition: "selection" govori da je uvjet za pokretanje detekcije ispunjen ako su svi navedeni kriteriji iz selection dijela zadovoljeni.
  
-Ukratko, događaj mora imati EventID = 1, ParentImage koji sadrži “apache” ili “tomcat”i CommandLine koja sadrži bar jednu od navedenih naredbi (whoami, net user, ping -n).+Ukratko, događaj mora imati EventID = 1, ParentImage koji sadrži “apache” ili “tomcat” i CommandLine koja sadrži bar jednu od navedenih naredbi (whoami, net user, ping -n).
  
 falsepositives: "unknown" nam govori da autor nije naveo niti jedan poznati slučaj u kojem bi ovo pravilo detektiralo lažno pozitivan slučaj. falsepositives: "unknown" nam govori da autor nije naveo niti jedan poznati slučaj u kojem bi ovo pravilo detektiralo lažno pozitivan slučaj.
  
-level: "high" označava visoku razinu upozorenja+level: "high" označava visoku razinu upozorenja
 + 
 +===== SIGMA pravila u Splunk platformi ===== 
 + 
 +Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu. Najčešće se koristi u području kibernetičke sigurnosti, IT nadzora i poslovne analitike za obradu velikih količina podataka (logova).  
 + 
 +Search Processing Language (SPL) je za jezik pretraživanja Splunka, koji omogućuje korisnicima da filtriraju, analiziraju i izvode statistiku iz podataka. 
 + 
 +Na primjeru sljedećeg SIGMA pravila objasnit ćemo kako se ono prevodi te kako izgleda u SPL-u: 
 + 
 +  title: Suspicious PowerShell Usage 
 +  description: Detects PowerShell commands often used in attacks 
 +  logsource: 
 +    product: windows 
 +    service: sysmon 
 +  detection: 
 +    selection: 
 +      EventID: 1 
 +      CommandLine|contains: 
 +        - "Invoke-WebRequest" 
 +        - "IEX" 
 +        - "Set-MpPreference" 
 +    condition: selection 
 +  level: high 
 + 
 +Koristimo alat sigmac i python s idućom naredbom: 
 +  python sigmac -t spl -c splunk-windows sigma_file.yml 
 +   
 +-t spl: Specificira da je cilj Splunk. 
 + 
 +-c splunk-windows: Koristi predložak za Splunk s Windows zapisima. 
 + 
 +sigma_file.yml: Datoteka SIGMA pravila koje želimo prevesti. 
 + 
 +Nakon pokretanja alata generirani SPL izgleda ovako:  
 +  index="windows" EventID=1 CommandLine="*Invoke-WebRequest*" OR CommandLine="*IEX*" OR CommandLine="*Set-MpPreference*" 
 + 
 +Ako zalijepimo generirani SPL upit u pretraživač, Splunk će prikazati sve logove koji odgovaraju definiranim uvjetima SIGMA pravila. 
 + 
 +Ukratko, ovo pravilo prepoznaje sumnjive Powershell naredbe koje se koriste za preuzimanje i izvođenje zlonamjernih skripti te izmjenu sigurnosnih postavki sustava.
  
  
 ===== Zaključak ===== ===== Zaključak =====
  
 +SIGMA pravila su vrlo bitan alat u modernoj kibernetičkoj sigurnosti. Njihova jednostavnost, razumljivost i fleksibilnost omogućuju brzu detekciju prijetnji i prilagodbu pravilima specifičnih platformi poput Splunka, Elasticsearcha i Microsoft Sentinela. Standardizirana forma koju SIGMA uvodi olakšava razvoj te razmjenu znanja i pravila među sigurnosnim timovima. 
  
 +Integracija SIGMA pravila u SIEM sustave omogućuje organizacijama da prate logove u stvarnom vremenu i otkriju potencijalne napade, često i prije nego što se šteta dogodi. Primjeri poput detekcije sumnjivih PowerShell aktivnosti ili webshell napada pokazuju koliko SIGMA pravila mogu biti praktična i učinkovita u stvarnim scenarijima.
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://hr.wikipedia.org/wiki/]]+[1] [[http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:splunk_siem_sustav]] 
 + 
 +[2] [[https://www.microsoft.com/hr-hr/security/business/security-101/what-is-siem]] 
 + 
 +[3] [[https://medium.com/@cloud_tips/sigma-rules-examples-568fd5d02d9a]] 
 + 
 +[4] [[https://sigmahq.io/docs/basics/rules.html]]
  
  
racfor_wiki/seminari2024/pisanje_sigma_pravila.1736765314.txt.gz · Zadnja izmjena: 2025/01/13 10:48 od Karamatić Roko
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0