Sigma 规则如何帮助解决网络安全技能短缺问题

最新推荐文章于 2024-05-29 09:53:43 发布
最新推荐文章于 2024-05-29 09:53:43 发布
阅读量794 收藏 2
点赞数 1
文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vvoennvv/article/details/128009904
版权

信息系统安全协会 (ISSA) 和行业分析公司 Enterprise Strategy Group (ESG) 的一项全球研究表明,令人担忧的网络安全技能短缺问题在 2021 年连续第五年肆虐。这种技能短缺影响了 57% 的组织,导致网络安全团队的工作量增加、网络安全职位空缺空缺以及网络安全团队成员的高度倦怠。

一种名为 Sigma 规则的网络安全团队相对较新的工具为技能危机提供了缓解选项。它可能无法完全消除这个问题,但它可以为团队提供喘息空间做出重大贡献,因为他们正在应对因没有足够的人手来应对侵略性和不断发展的网络威胁而造成的严重影响。

西格玛规则概述
Sigma 规则是文本签名,旨在促进检测日志事件中的异常和可疑活动。它使用YAML编写,类似于 YARA,作为共享威胁检测信息的工具。不过,它的不同之处在于它专注于 SIEM 而不是网络流量和文件。Sigma 规则主要用于检测符合 SOC 工程师指定的特定标准的日志事件。此功能对于启用事件检测和响应系统的自动响应至关重要。

使用 Sigma 规则的最大好处是它们的标准化格式。Sigma 规则格式取代了供应商特定 SIEM 平台使用的格式或语言。在由于缺乏合格成员而导致网络安全团队过度劳累和精疲力竭的情况下,这一优势非常重要。

Sigma 规则的概念于 2017 年引入,由检测工程师 Florian Roth 和开源安全工具开发人员 Thomas Patzke 共同开发。Roth 还开发了 THOR APT 扫描器,这是一款功能齐全的 YARA 和 IOC 扫描器,旨在自动评估安全漏洞。Patzke 一直积极参与事件响应和威胁搜寻活动,他对 Log4Pot 漏洞 (CVE-2021-44228) 的分析做出了显着贡献。

解决技能短缺问题
Sigma 规则的一大亮点是它们用于检测信息共享的标准化格式。这是至关重要的,因为它允许团队编写一次规则并将它们应用于不同的SIEM 解决方案。无需为不同的 SIEM 操作重写规则,这意味着效率显着提高。

例如,如果团队已经为 Azure Sentinel SIEM 工具编写了 Sigma 规则,则在 Splunk 中使用相同的规则不需要从头开始重写代码。Sentinel 代码可以自动转换为适用于 Splunk 的代码。这是可能的,因为 Sigma 规则是开源的。一旦规则以 Sigma 规则格式编写,这些规则对每个人都可用或有用,即使他们使用不同的 SIEM 工具。

采用 Sigma 规则可显着减少参与安全信息和事件管理操作的人员的任务。这意味着安全团队不太可能被大量任务和倦怠案例所淹没。虽然公司仍在寻找更多合格的SOC 工程师加入团队,但现有的 SOC 工程师已经可以通过使用 Sigma 规则来减少他们的工作量。

学习如何编写 Sigma 规则非常具有挑战性。Sigma 规则创建指南有一个规则创建模板,任何人都可以使用它来入门。但是,熟悉书写错误的常见规则也很重要,例如在标题中使用前缀、警报名称少于 50 个字符、反斜杠使用不当以及不注意标题大小写。

预先编写的 Sigma 规则
采用 Sigma 规则可以借助现成的 Sigma 规则进一步提高 SIEM 运营效率。这些是安全解决方案提供商根据他们长期以来收集的威胁检测信息预先制定的规则。

SOC 工程师根据他们从各种来源获得的信息编写他们的威胁检测规则,从威胁情报数据库到来自 MITRE ATT&CK 等对抗性策略检测框架的更新。这些信息是通过安全验证或安全态势管理平台不断积累的,因此不利用现成的细节来促进快速自动编写规则以供各地 SOC 团队使用是不明智的。

这种 Sigma 规则的预写可以消除 SOC 工程师编写规则的需要。他们可能只需要偶尔评估自动生成的规则或进行审计以检查规则是否正确编写以及它们是否符合预期目的。

传统的威胁检测规则编写占据了 SOC 工程师工作时间的很大一部分。他们不可避免地不得不为每一个发现的新威胁重复编写规则。这是一个乏味且耗时的过程,一些 SOC 工程师会发现极难处理。SOC 团队需要更多人手来确保准确、及时地编写规则,以跟上新漏洞和网络攻击的出现。Sigma 规则和预先编写的 Sigma 规则明显减轻了 SOC 团队必须处理的负担。 

Sigma 规则的其他好处
间接地,Sigma 规则通过为网络威胁研究人员和情报人员提供一种不可知的方式来共享他们的威胁检测信息,从而帮助改善网络安全社区。这消除了安全工程师完成转换(针对其他平台)他们编写的规则或编写有关新威胁检测的报告的过程。

独立的安全研究人员也将有权分享他们的检测数据。通过使用标准化的 Sigma 规则格式,他们立即成为依赖开源信息的全球网络安全研究社区的一部分。

使用 Sigma 规则还有利于处理多个 SIEM、端点检测、响应和日志分析平台以及数据分类法或模式的 MSSP 和 MDR。它还消除了供应商锁定带来的不便,供应商锁定迫使组织继续使用特定的专有工具,因为他们的所有数据都以专有格式记录和保存。因此,切换到其他选项变得太不方便了。

同样,Sigma 规则并不是解决全球持续存在的网络安全技能短缺问题的方法。这个问题需要一种涉及教育机构、网络安全行业和企业的整体方法。然而,Sigma 规则提供了真正的好处,可以减轻 SOC 工程师的工作量,并帮助他们承担大量的工作,直到招募和部署更多的安全工程师。

千源万码
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
sigma-rules:自定义sigma规则的集合
03-26
西格玛规则 自定义sigma规则的集合。
深入了解Sigma规则以及如何编写自己的威胁检测规则
m0_71745754的博客
02-10 1841
与YARA、Snort规则一样,Sigma是一种通用且开放的签名格式,以直接的方式描述相关的日志事件。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。在下面的示例中,如果触发了条件中的selection1、selection2、selection3,并且没有匹配filter中的任何一项,则会输出匹配结果。还可以使用通配符来匹配日志数据中的大量关键字。
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5565
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样
go-sigma-rule-engine:Golang库,实现sigma日志规则解析器和匹配引擎
02-17
go-sigma-rule引擎 Golang库,可实现sigma日志规则解析器和匹配引擎。 是一种开放的,与供应商无关的日志签名格式。 官方sigma存储库包括规则格式定义,公共规则集和用于将规则转换为各种SIEM警报格式的python工具。 从本质上讲,它在日志记录空间中的作用与Suricata在数据包捕获和YARA用于文件分析中的作用相同。 但是,与那些项目不同,开放式Sigma项目不充当匹配引擎。 仍然希望用户运行受支持的SIEM或日志管理解决方案,并具有启用警报功能所需的许可。 该项目在Golang中实现了规则解析器和实时匹配引擎,为这些SIEM系统提供了轻量级的替代方案。 本质上,这只是一个约3000行的库,任何人都可以使用它来为日志构建自己的IDS。 最初的版本是实验性的hack,在最后一分钟经过最少的测试就拼凑在一起,由北约CCDCOE组织的《 Crossed Sword
正态分布中“sigma原则”、“2sigma原则”、“3sigma原则”具体含义是什么?
学无止尽,谨言慎行!
12-27 9207
这三个原则是统计学中的常用原则,用于描述数据的分布规律和概率范围。在实际应用中,它们被用来评估数据的可靠性、预测风险等。
Python利用神经网络解决非线性回归问题实例详解
09-19
### Python利用神经网络解决非线性回归问题实例详解 #### 一、问题背景与目标 在现实世界的应用中,很多情况下我们需要预测一个连续值的结果,这种情况通常被称为回归问题。例如,预测房价、股票价格变动等。传统...
论文研究 - Sigma-Pi-Sigma神经网络的动量梯度法收敛性研究
05-28
首先,Sigma-Pi-Sigma神经网络是一种高级前馈神经网络,以其单层网络的快速收敛率以及独特的高阶网络非线性映射能力而著称。为了进一步提升网络的应用能力,基于PSN的基础上引入了更加复杂的网络结构,即SPSNN。这种...
Sigma5_Internet/网络编程_
10-01
标题中的"Sigma5_Internet/网络编程_"表明这是一个与网络编程相关的项目,可能是一个软件或应用,使用了Sigma5作为其名称的一部分。描述中的“随便玩玩而已也是学学编程之类的东西啦 然后学学别人的作品参考啦”表明...
探索SIGMA检测规则:智能安全事件检测的利器
最新发布
gitblog_00011的博客
05-29 303
探索SIGMA检测规则:智能安全事件检测的利器 SIGMA-detection-rulesSet of SIGMA rules (>320) mapped to MITRE Att@k tactic and techniques项目地址:https://gitcode.com/gh_mirrors/si/SIGMA-detection-rules 项目简介 SIGMA检测规则是一个免费的高级关联...
探秘 Sigma:一款强大的开源日志分析工具
gitblog_00039的博客
04-10 386
探秘 Sigma:一款强大的开源日志分析工具 项目地址:https://gitcode.com/Neo23x0/sigma 项目简介 Sigma 是一个由 Neo23x0 创建并维护的开源项目,旨在为安全分析师提供一种易于编写和分享日志解析规则的方式。它利用 SQL 语言的力量,让非专业程序员也能轻松解析、检测和理解复杂的安全事件。该项目的目标是提升企业的安全防护能力,通过社区共享规则库,使得对未...
sigma:SIEM系统的通用签名格式
02-02
西格玛 SIEM系统的通用签名格式 什么是西格玛 Sigma是一种通用的开放签名格式,可让您以简单的方式描述相关的日志事件。 规则格式非常灵活,易于编写,并且适用于任何类型的日志文件。 该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可在其中描述他们曾经开发的检测方法并使它们与他人共享。 Sigma用于日志文件, 用于网络流量, 用于文件。 该存储库包含: Sigma规则规范 ./rules子文件夹中的sigma签名的开放存储库 位于./tools/子文件夹中的名为sigmac的转换器,可根据Sigma规则为不同的SIEM系统生成搜索查询 Hack.lu 2017演讲 在MITER ATT&CK:registered:和Sigma上进行SANS网络广播 Sigma上的SANS网络广播从第39分钟开始对John Hubbart的项目进行了非常好的20分钟介绍。 (需要SANS帐户;免费注册) 用例 在Sigma中描述您的检测方法以使其可共享 用Sigma编写SIEM搜索,以避免供应商锁定 在分析的附录中共享签名以及IOC和YARA规则 在威胁情报社区中共享签名-例如通过M
检测规则:BaseDFIR团队编写的通用SIEM入侵检测规则
02-12
通用SIGMA SIEM入侵检测规则 描述 SIGMA是由Florian Roth @ Neo23x0开发的一种相对较新的,与供应商无关的规则编写语言,它确实具有革命性。 像这样的规则可以在从Elastic到Sentinel到Qradar和Splunk的SIEM解决方案中实施,如果您有SIEM解决方案,您将能够充分利用SIGMA。 \对于没有经验的观众,请参阅下一节。 否则,请参见标题为目的的部分。 什么是规则规则是一组预定义查询的名称,这些查询不断搜索计算机网络上的恶意,可疑或未经授权的活动。 它们被放入IDS系统(通常为SIEM)中,该系统已连接到绝大多数网络,例如域控制器,文件服务器,活动目录,azure或aws,365,google,防火墙以及您使用的任何其他服务组织。 然后,规则会自动不断地(取决于您的设置或不同的siem软件)在网络中搜索安全团队认为不良的活动。 例如,
sigma:SIEM系统的通用签名格式
03-11
西格玛 SIEM系统的通用签名格式 什么是西格玛 Sigma是一种通用的开放签名格式,可让您以简单的方式描述相关的日志事件。 规则格式非常灵活,易于编写,并且适用于任何类型的日志文件。 该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可以在其中描述他们曾经开发的检测方法,并使其与他人共享。 Sigma用于日志文件, 用于网络流量, 用于文件。 该存储库包含: Sigma规则规范 ./rules子文件夹中的sigma签名的开放存储库 位于./tools/子文件夹中的名为sigmac的转换器,可根据Sigma规则为不同的SIEM系统生成搜索查询 Hack.lu 2017演讲 在MITER ATT&CK:registered:和Sigma上进行SANS网络广播 Sigma上的SANS网络广播从第39分钟开始对John Hubbart的项目进行了非常好的20分钟的介绍。 (需要SANS帐户;免费注册)
《互联网企业安全高级指南》笔记 —— By Kun_Sigma(2)
06-21
《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 --最好的
Sigma Forum-开源
05-15
使用jQuery提供快速论坛体验的动态论坛。
正态分布中“sigma原则”,“2sigma原则”,“3sigma原则”
热门推荐
Flashing-C的博客
04-27 12万+
正态分布中“sigma原则”,“2sigma原则”,“3sigma原则”正态分布3sigma原则正态分布中的参数含义 正态分布3sigma原则 正态分布中“sigma原则”、“2sigma原则”、“3sigma原则”分别是: sigma原则:数值分布在(μ-σ,μ+σ)中的概率为0.6526; 2sigma原则:数值分布在(μ-2σ,μ+2σ)中的概率为0.9544; 3sigma原则:数值分布在...
CVE-2021-41773-Apache HTTP Server 2.4.49路径穿越流量特征
12306小哥
10-10 666
0x1 简介 Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响: 版本等于2.4.49 穿越的目录允许被访问,比如配置了Require all granted。(默认情况下是不允许的) 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 0x2 漏洞详情 使用如
RSAC简介 RSAC 2020 最热门的36款网络安全产品
whatday的专栏
02-26 5437
美国时间2月24日至28日,RSA Conference 2020(RSAC2020)信息安全大会将在旧金山Moscone Center召开。此次会议参会人数预计达5万+,参展商达700多家,大会包含:研讨会、沙箱创新大赛、培训和教程、主题演讲、课堂等多种不同的活动。 从1991年成立至今,RSAC已成功召开29届,RSA信息安全大会对全球信息安全建设起着不可或缺的作用,它提供了安全市场中竞争对...
Facebook引入Haskell升级Sigma防御系统
cpongo5
07-07 107
Facebook的Sigma防御系统主要用来主动识别垃圾邮件、钓鱼攻击以及恶意链接等,并自动将其从网络中删除。随着网站内容和用户数量的极速增长,之前设计的Sigma系统渐渐不能满足网站的需求。Facebook利用两年时间对Sigma进行了升级,用Haskell语言替代了FXL(Feature eXtraction Language)语言对Sigma进行了重新编程。接下来,本文就Sigma升级的相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千源万码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值