Новая версия Sigma r2024-09-02 стала доступна для загрузки. Разработчики существенно расширили функциональность и улучшили работу системы. Рассмотрим основные изменения в этом релизе.
Еще по теме: SIEM ханипот с помощью Sentinel Azure
Что такое Sigma
Sigma — это открытый стандарт и инструмент для создания универсальных правил обнаружения угроз. Он предоставляет язык описания правил, независимый от конкретных платформ, что позволяет легко адаптировать их для различных систем безопасности, таких как IDS и SIEM.
Ключевые преимущества Sigma включают гибкость в создании правил, активное сообщество, обменивающееся опытом, и открытый исходный код. Это делает его ценным ресурсом для аналитиков безопасности, упрощая процесс разработки, тестирования и обмена правилами обнаружения угроз между организациями и платформами, что в итоге повышает общую эффективность ИБ.
Подробнее про Sigma см. в статье «Использование правил Sigma в Timesketch».
Новая версия Sigma r2024-09-02
В обновлении добавлено 75 новых правил, обновлено 43 существующих и исправлено 30 правил. Это значительно расширяет возможности обнаружения потенциальных угроз.
- Одно из ключевых улучшений — расширенное покрытие для нескольких GTFOBins (мы рассказывали о GTFOBins в статье «Взлом удаленного хоста через Git и привилегии с GTFOBins»). Теперь система лучше распознает попытки эксплуатации известных бинарных файлов.
- Разработчики обновили список доменов для обмена файлами, добавив *.pages.dev, *.w3spaces.com и *.workers.dev. Это поможет более эффективно отслеживать подозрительную активность, связанную с обменом файлами.
- Значительной доработке подверглись правила для LOLBins (инструкции для обнаружения злоупотреблений легитимными системными утилитами Windows в целях проведения атак.). Их усовершенствовали, чтобы лучше выявлять злоупотребления легитимными системными утилитами.
- Большое внимание было уделено настройке многих правил для повышения их надежности и снижения количества ложных срабатываний. Это должно сделать работу с Sigma более комфортной и эффективной.
- В новый релиз также интегрировали несколько правил из репозитория Sigma, созданного пользователем Kostastsale. Это расширяет базу знаний системы и улучшает ее способность обнаруживать различные типы угроз.
- Важным шагом стала миграция всех правил на версию 2 спецификации. Это обеспечивает большую гибкость и расширяет возможности для создания сложных правил обнаружения.
Это лишь небольшая часть изменений. Для получения полной информации о релизе рекомендую посетить страницу проекта на GitHub и ознакомиться с полным списком изменений.
Рекомендую обновиться как можно быстрее, чтобы воспользоваться всеми преимуществами новой версии и улучшить защиту систем.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Инструменты для генерации таймлайнов событий угроз
- Использование Hayabusa и ZUI для анализа журналов Windows