SIGMA pravila su standardizirani framework za pisanje pravila koja detektiraju prijetnje u području kibernetičke sigurnosti. Primarno se koriste u SIEM sustavima radi učinkovitijeg otkrivanja sumnjivih aktivnosti i mogućeg zlonamjernog ponašanja.

Ona su zamišljena kao jednostavan, ljudima čitljiv jezik kojim se definiraju obrasci sumnjivog ponašanja unutar različitih vrsta zapisa događaja(logova).

Jedna od najvećih prednosti je što su lako prilagodljiva za pravila specifičnih platformi kao što su npr. Splunk, Elasticsearch, Microsoft Sentinel itd. Upravo ta prilagodljivost omogućuje brzu razmjenu znanja o novim prijetnjama i širenje dobrih praksi među sigurnosnim timovima diljem svijeta.

U ovom seminaru bit će objašnjena osnovna struktura Sigma pravila, način njihovog funkcioniranja te praktični primjeri primjene.

SIEM(engl. Security Information and Event Management), rješenje je koje tvrtkama i ustanovama pomaže u otkrivanju i analizi sigurnosnih prijetnji i odgovaranju na njih prije nego što počnu negativno utjecati na poslovanje.

Tehnologija SIEM prikuplja podatke iz zapisnika događaja iz mnogih izvora, prepoznaje aktivnosti koje odstupaju od norme uz analizu u stvarnom vremenu i poduzima odgovarajuće radnje.

Ukratko, SIEM tvrtkama i ustanovama daje uvid u aktivnosti unutar mreže tako da mogu brzo odgovoriti na potencijalne računalne napade.

SIGMA pravila su pisana u vrlo razumljivom YAML formatu, a u nastavku su navedena i opisana najčešća i ključna polja koje većina pravila ima.

title (naslov): Kratki, jasni opis detekcije koju pravilo provodi.

id (jedinstveni identifikator): Jedinstvena oznaka koja olakšava praćenje i verzioniranje pravila.

description (opis): Kratko objašnjenje svrhe i načina rada pravila. Može sadržavati i npr. kontekst napada.

status: Ukazuje na stupanj razvijenosti pravila (npr. experimental, stable, deprecated). Pomaže timovima da znaju je li pravilo pouzdano ili se još testira.

logsource (izvor logova): Definira za koje sustave ili usluge se pravilo primjenjuje te tako olakšava odabir logova unutar SIEM-a.

detection (detekcija): Ključni dio svakog SIGMA pravila, ovdje se definiraju uvjeti koji se traže u logovima, npr. CommandLine|contains: “powershell.exe”

level (razina ozbiljnosti): Označava kritičnost detekcije (npr. low, medium, high, critical).

tags (oznake): Pomažu za grupiranje i kategorizaciju pravila.

false_positives (mogući lažno pozitivni slučajevi): Informacije o poznatim situacijama koje bi mogle lažno aktivirati pravilo.

references (reference): Sadrži reference na izvore i dokumentaciju koji objašnjavaju zašto je neko pravilo napisano.

date (datum): Pomaže u praćenju i verzioniranju.

Polja title, id, description, logsource i detection su prisutni u gotovo svim SIGMA pravilima dok ostala polja mogu biti prisutna ovisno o potrebama i standardima sigurnosnih timovima koji pišu ta pravila.

[1] https://hr.wikipedia.org/wiki/