来源:https://www.nextron-systems.com/2018/06/28/spark-applies-sigma-rules-in-eventlog-scan/
Sigma是日志文件中用于威胁检测的规则格式。对于日志数据,“Snort规则”适用于网络流量,“YARA签名”适用于文件数据。它很容易写和读。写出Sigma规则只需要几分钟。
在右边,你可以看到一个简单的西格玛规则,检查“系统”事件日志的线索,密码转储活动。检测部分包含1+个可由规则作者自由定义的标识符(选择、关键字、quarkspwdump)。在条件condition中使用这些选择器selectors来构建规则。
它还包含一个描述,参考,可能的误报和一个等级。
分析人员使用Sigma为他们的SIEM或日志管理解决方案生成搜索查询。Sigma repo包含一个转换器,允许转换通用规则ElasticSearch, Splunk, QRadar, Logpoint, Windows Defender ATP (WDATP)和ArcSight。
即将在7月底发布的SPARK 1.14版本就做到了这一点。它将Sigma规则应用于本地事件日志。这样,您就能够将您曾经为SIEM定义的搜索应用到本地事件日志中。
通过这种方式,您可以“查询”没有连接到您的SIEM的独立系统,并发现环境中其他常见的盲点。
我们提供了当前的规则集,它是公共Sigma库的一部分,并包含了超过200个规则与我们的SPARK程序包以加密的形式。(* .yms)
你可以把你自己的Sigma规则添加到"./custom-signatures/sigma/"文件夹在SPARK计划目录。
要激活Sigma扫描,请使用新的“-sigma”参数。
目前只有SPARK支持这个功能,没有计划在THOR中也实现。
该功能目前对所有用户都是免费的,但可能会成为一项收费功能,根据用户的计划,到今年年底必须另行授权。
有关所有特性的完整概述,请参见比较表。
网友评论