Вышла новая версия Sigma r2024-09-02

Sigma

Новая версия Sigma r2024-09-02 стала доступна для загрузки. Разработчики существенно расширили функциональность и улучшили работу системы. Рассмотрим основные изменения в этом релизе.

Еще по теме: SIEM ханипот с помощью Sentinel Azure

Что такое Sigma

Sigma — это открытый стандарт и инструмент для создания универсальных правил обнаружения угроз. Он предоставляет язык описания правил, независимый от конкретных платформ, что позволяет легко адаптировать их для различных систем безопасности, таких как IDS и SIEM.

Ключевые преимущества Sigma включают гибкость в создании правил, активное сообщество, обменивающееся опытом, и открытый исходный код. Это делает его ценным ресурсом для аналитиков безопасности, упрощая процесс разработки, тестирования и обмена правилами обнаружения угроз между организациями и платформами, что в итоге повышает общую эффективность ИБ.

Подробнее про Sigma см. в статье «Использование правил Sigma в Timesketch».

Новая версия Sigma r2024-09-02

В обновлении добавлено 75 новых правил, обновлено 43 существующих и исправлено 30 правил. Это значительно расширяет возможности обнаружения потенциальных угроз.

  • Одно из ключевых улучшений — расширенное покрытие для нескольких GTFOBins (мы рассказывали о GTFOBins в статье «Взлом удаленного хоста через Git и привилегии с GTFOBins»). Теперь система лучше распознает попытки эксплуатации известных бинарных файлов.
  • Разработчики обновили список доменов для обмена файлами, добавив *.pages.dev, *.w3spaces.com и *.workers.dev. Это поможет более эффективно отслеживать подозрительную активность, связанную с обменом файлами.
  • Значительной доработке подверглись правила для LOLBins (инструкции для обнаружения злоупотреблений легитимными системными утилитами Windows в целях проведения атак.). Их усовершенствовали, чтобы лучше выявлять злоупотребления легитимными системными утилитами.
  • Большое внимание было уделено настройке многих правил для повышения их надежности и снижения количества ложных срабатываний. Это должно сделать работу с Sigma более комфортной и эффективной.
  • В новый релиз также интегрировали несколько правил из репозитория Sigma, созданного пользователем Kostastsale. Это расширяет базу знаний системы и улучшает ее способность обнаруживать различные типы угроз.
  • Важным шагом стала миграция всех правил на версию 2 спецификации. Это обеспечивает большую гибкость и расширяет возможности для создания сложных правил обнаружения.

Это лишь небольшая часть изменений. Для получения полной информации о релизе рекомендую посетить страницу проекта на GitHub и ознакомиться с полным списком изменений.

Рекомендую обновиться как можно быстрее, чтобы воспользоваться всеми преимуществами новой версии и улучшить защиту систем.

ПОЛЕЗНЫЕ ССЫЛКИ:

Falcon

Я не ломаю системы, я их закаляю и пишу статьи на спайсофте с 2011. Новые статьи в Телеграме.

Добавить комментарий