SIGMA 규칙이란 무엇인가: 초보자 가이드

세계 최대의 탐지 규칙 데이터셋에 접근하세요

가입 무료

이 블로그 게시물은 탐지역할 언어로서 SIGMA의 장점을 주장하며 가장 중요한 SIGMA 규칙 구성 요소(logsource 및 detection), SIGMA 분류 체계, SIGMA 규칙의 테스트 내용을 다루고 일반적으로 SIGMA에 처음인 분석가들이 첫 번째 규칙을 작성할 수 있도록 준비시킵니다. 또한 소음, 아이디어, 로그 소스 등에 대한 SIGMA와 함께하는 탐지 엔지니어링에 대한 짧은 논의가 제공됩니다.

SIGMA 규칙의 중요성

과거에는 SIEM 탐지가 공급업체나 플랫폼별로 구분된 사일로에 존재했습니다. 탐지를 공유하려는 파트너들은 종종 하나의 공급업체에서 다른 공급업체로 쿼리를 번역해야 했습니다. 이는 지속 가능하지 않으며, 방어 사이버 보안 커뮤니티는 진화하는 적수에 맞서기 위해 탐지를 공유하는 방법을 개선해야 합니다.

YARA 또는 Snort 규칙과 마찬가지로 SIGMA는 파일이나 네트워크 트래픽이 아닌 SIEM에 초점을 맞춘 탐지 공유의 또 다른 도구입니다. SIGMA를 사용하면 방어자가 공통 언어로 탐지(경고, 사용 사례)를 공유할 수 있습니다.

플로리안 로스와 토마스 파츠케에 의해 2017년에 처음 발표된 SIGMA는 플랫폼 비특정 검색의 미래를 선도하고 있습니다. SIGMA를 통해 방어자는 공급업체 및 플랫폼 특정 탐지 언어 및 저장소에서 벗어나 커뮤니티의 힘을 활용하여 심각한 위협과 새로운 적군 전술에 신속하게 대응할 수 있습니다.

SIGMA를 사용하는 이유는 많습니다:

• 새로운 적군 행동을 식별하고 탐지를 비특정하게 공유하는 방법을 원하는 연구자 및 정보 팀
• 여러 SIEM/EDR/로그 분석 솔루션 및 데이터 분류/스키마(ECS, CEF, CIM 등)에 대한 책임이 있는 MSSP/MDR
• SIGMA로 규칙을 정의함으로써 쉽게 플랫폼 간 전환이 가능하여 공급자 종속을 피할 수 있습니다.
• 자신의 연구를 바탕으로 탐지를 생성하려는 공격 공간의 연구자

참고: 이 블로그에서 SIEM은 로그를 수집하고 검색하는 데 사용되는 모든 플랫폼을 설명하는 데 사용됩니다. 나열된 많은 플랫폼이 당신의 “SIEM” 정의에 맞지 않을 수 있음을 인정합니다. 그러나 “플랫폼”이나 “로그 플랫폼”이라는 용어는 너무 모호합니다.

“Sigma 규칙은 다양한 도메인에 걸쳐 의사 결정을 개선하고 문제 해결을 촉진하는 핵심 원칙입니다. 데이터 변화의 중요성을 강조하고 강력한 프로세스를 구축하는 것을 중요시합니다. 이러한 지침을 따르면 팀이 변화에 직면했을 때 효과적이고 유연한 전략을 개발하는 데 도움이 됩니다.”

루슬란 미할로프SOC Prime의 위협 연구 책임자팔로우

SIGMA 규칙 작성

SIGMA 규칙을 작성하기 위해서는 SIGMA 스키마와 분류 체계에 대한 기본적인 지식, 아이디어, SIGMA에 적합한 아이디어 적합, 테스트, 공유, 규칙 유지 관리의 가능성이 필요합니다.

추천 배경 및 컨텍스트

이 블로그의 길이에도 불구하고, 창작자의 사려 깊은 접근 덕분에 SIGMA는 이해하고 작성하기 쉽습니다. SOC Prime에서는 ‘누구나 SIGMA를 배울 수 있다’고 말하는 것을 좋아합니다. 탐지 엔지니어링은 복잡할 수 있습니다.

다음과 같은 많은 리소스가 있습니다 공식 위키 및 SIGMA 전문가가 작성한 몇 가지 가이드(아래에 나열됨). 와일드카드를 적절히 처리하기 or 잘못된 필드 이름 이러한 문제의 일부는 이 리소스에서 다루어집니다.

SIGMA에 진입하려는 연구자라면, SOC Prime의 위협 보상 프로그램은 시작하면서 약간의 현금을 벌 수 있는 좋은 기회입니다. 제출된 규칙은 철저한 검토 프로세스를 거쳐 여러분을 안내하고 실수를 이해하고 분석가로서 성장할 수 있도록 도와드립니다.

추천 읽을거리:

• SIGMA 규칙 작성법, 플로리안 로스 2018
• 일반 로그 소스에 대한 가이드, 토마스 파츠케 2019

추천 시청:

• SIGMA 정보 – 아담 스완
  
  
  

SIGMA 규칙이 표현할 수 있는 탐지 유형

현재 기본적으로 두 가지 유형의 규칙이 존재합니다:

• 일치에 기반한 SIGMA 규칙, 널리 지원되며 작성이 가장 쉽습니다
• 일치와 간단한 상관 관계에 기반한 SIGMA 규칙, 지원이 제한되어 있으며 작성이 덜 쉽습니다

참고: 또한 다중-YAML SIGMA 규칙도 있지만, 일반적으로 특정 로그 소스 규칙에 비해 인기가 떨어졌습니다. SOC Prime 팀은 일반적으로 다중-YAML 규칙을 만들지 않습니다. 이러한 규칙은 규칙 유지 관리 및 배포에 불필요한 복잡성을 추가하기 때문입니다. 두 개의 SIGMA 규칙을 생성할 수 있다면 다중-YAML SIGMA 규칙을 생성할 수 있습니다.

간단한 SIGMA 규칙을 만들어 봅시다!

아이디어 (및 SIGMA를 활용한 탐지 엔지니어링에 대한 약간의 생각)

사용자 및 관리자는 종종 텍스트 파일, 엑셀, 워드와 같은 일반 문서에 민감한 암호를 보관합니다. 적군이 이러한 파일을 환경에서 저보다 먼저 식별할 가능성이 염려됩니다. 우리는 사용자에게 범죄 해커에게 발견되기 전에 암호를 올바르게 저장하는 방법을 교육하고자 합니다.

많은 SIGMA 규칙의 경우 아이디어를 추상화하고 목표를 ‘합리적인 수준’으로 넓히는 것이 작성자에게 유익합니다. 이러한 아이디어의 경우, 비밀번호를 평문으로 저장하는 추가 용어 및 확장에 대해 사용자가 아이디어를 얻은 것과 상관없이 교육적 추측을 할 수 있습니다. may 규칙을 ‘넓히는’ 아이디어는 많은 분석가의 본능에 반직관적입니다. 잘못된 긍정(False Positive)을 전부 없애는 것이 규칙 작성자의 목표가 아닐 수도 있습니다. 규칙이 알려지지 않은 환경에서 소화될 때, 모든 잘못된 긍정을 없애는 것은 중요하지 않을 수 있습니다. 우리는 EDR 및 안티바이러스 공급업체가 잘못된 긍정을 가질 수 없는 탐지를 만드는 것에 대해 걱정하게 할 수 있습니다. SIGMA 규칙은 환경에서 테스트 및 조정될 수 있습니다.

SIGMA는 쉽게 이해되고, 테스트되고, 조정될 수 있습니다. ‘details’와 같은 용어가 환경에 적합하지 않다면, 규칙을 구현하는 사람은 규칙을 조정할 수 있는 권한을 가지고 있어야 합니다. 모든 규칙을 한 번에 배포하는 것은 재앙을 예고하는 것입니다. 환경에 대한 의도를 소화하고 조정하는 대신 규칙을 끄는 것은 촘촘한 탐지 내용을 놓치게 만듭니다.

psexec의 예를 드는 것을 좋아합니다. 일부 환경에서는 psexec가 완전히 정상적이며 원격에서 호스트를 관리하는 관리자를 위한 스테이터스 퀘오입니다. 다른 환경에서는 psexec가 (아마도 당연하게) 승인되지 않고 차단되며 관리자가 사용하는 경우 처벌 가능한 행동일 것입니다. 따라서, psexec 사용을 탐지하기 위한 SIGMA 규칙이 ‘소음이 많은’ 것이 아니라 어떤 환경에서는 더 잘 작동하는 것입니다. 테스트 없이 콘텐츠를 배포하면 소음 조정이 항상 문제가 됩니다. ‘중요한’ 것으로 정의된 규칙만이 테스트 없이 안전하게 사용할 수 있습니다.

우리의 암호 노출 SIGMA 규칙을 만드는 것으로 돌아가서, 다음과 같은 추가 파일 이름을 포함하도록 아이디어를 확장할 수 있습니다:

Back to creating our password exposure SIGMA rule.. we can expand the idea to include additional file names such as: 

• pw
• psw
• pass
• password
• passwords
• accounts
• account
• info

다음 소프트웨어로 생성됨:

• 메모장
• 메모장++
• 워드패드
• 오피스 애플리케이션
  
  
  

데이터 소스 / 로그 소스

아이디어가 있다면 로그 소스가 필요합니다. SIGMA는 이론적으로 any 로그 소스를 지원하지만 대부분의 사람들이 가지고 있는 로그 소스를 식별해야 합니다. 예를 들어, 데이터 손실 방지 로그 소스를 위한 규칙을 작성할 수 있을지도 모르지만, 데이터 손실 방지는 거의 SIEM에 구문 분석되어 수집되지 않으며 업계는 뚜렷한 선호도가 없습니다. 따라서 유효한 규칙을 생성할 수 있지만 쉽게 채택되지 않을 것입니다.

Windows 엔드포인트 규칙의 경우 Sysmon이 시작하기 좋은 곳입니다. Sysmon은 환경에서 일반적으로 배포되며 많은 로그 소스가 동의어 데이터를 제공합니다(EDR 등). Sysmon을 사용하면 프로세스 생성(proces_creation in SIGMA)과 파일 생성(file_event in SIGMA)의 두 가지 주요 옵션이 있습니다.

프로세스 생성을 기반으로 탐지를 구축하면 보다 넓게 채택되므로 우리의 규칙이 최대한 유용하도록 보장합니다. 프로세스 생성은 배우기에 좋은 로그 소스이며 엔드포인트 탐지에 사용되는 가장 유용하고 인기 있는 로그 소스 중 하나입니다.

참고: 아이디어는 종종 데이터 소스 자체에서 직접 파생됩니다. SIEM / 랩에서 사용할 수 있는 데이터 유형을 검토함으로써 쉽게 작성할 가치가 있는 SIGMA 규칙을 식별할 수 있습니다. 또한 공급업체 설명서와 같은 다른 소스를 사용할 수도 있습니다.

sysmon 프로세스 생성 이벤트(이벤트 ID 1)를 사용하면 비밀번호가 포함된 파일에 접근하는 사용자는 다음과 같은 흥미로운 필드를 포함할 수 있습니다:

Image: C:\Windows\System32\notepad.exe
CommandLine: “C:\Windows\System32\NOTEPAD.EXE” C:\Users\John\Desktop\password.txt

탐지 아이디어를 SIGMA에 적합하게 맞추기

이제 아이디어와 함께 작업할 수 있는 데이터 소스가 생겼으니 규칙 작성을 시작할 수 있습니다.

문서화되지 않았지만 진정한 최소 구성 요소 기본적으로 규칙을 번역하는 데 필요한 요소는 로그소스 및 탐지 (Splunk와 같은 일부 백엔드의 경우, 탐지만으로 충분합니다). 나머지 요소는 SIGMA 규칙 사용자에게 도움을 주기 위한 ‘단지’ 메타데이터입니다. 시작할 때 이러한 최소 필드로 시작하는 것이 유리합니다, 논리가 작동하는지 확인한 다음 추가 SIGMA 필드 및 데이터를 추가하세요. 규칙을 공용 SIGMA 저장소에 게시하고자 한다면 이전 제출물을 확인하고 그들의 형식을 모방하는 것이 가치가 있습니다.

잠재적인 암호 노출에 대한 최소 구성 요소가 포함된 기본 SIGMA 규칙:

title: Potential Password Exposure (via cmdline)
author: Adam Swan
tags:
  - attack.t1552.001 
  - attack.credential_access
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: 
      - '\notepad.exe'
      - '\word.exe'
      - '\excel.exe'
      - '\wordpad.exe'
      - '\notepad++.exe'
    CommandLine|contains:
      - 'pass' #pass will match on password, including password is redundant
      - 'pwd'
      - 'pw.' #pw.txt, etc. 
      - 'account' #accounts, 
      - 'secret'
      - 'details' #I included plural details based on experience
  condition: selection

로그소스 구성 요소

The 로그소스 구성 요소는 SIGMA 백엔드 번역기(SIGMAC)가 규칙이 어떤 유형의 데이터에 대해 작동해야 하는지 알 수 있도록 도와줍니다. 규칙 작성자가 더 일반적인 규칙을 만들 수 있도록 합니다. 예를 들어, 로그소스 이 ‘제품: windows, 카테고리: 프로세스 생성’인 경우, 이벤트 ID(시스몬 1, Windows 4688, 프로세스 롤업 등)를 지정할 필요가 없습니다. 규칙의 소비자는 SIGMA 설정에서 로그 소스와 연결하고자 하는 이벤트 ID, 인덱스 등을 지정할 수 있습니다. 인덱스, 이벤트 ID 등을 지정하지 않으면 소비자에게 규칙이 불필요하게 비용이 많이 들 것입니다(성능).

또한 원격 측정은 종종 유사한 필드를 포함할 수 있지만 완전히 다른 동작을 암시할 수 있습니다. 예를 들어, Sysmon 네트워크 연결 이벤트(이벤트 ID 3)와 프로세스 생성(이벤트 ID 1)은 이미지 필드를 공유합니다. 인터넷 탐색 이벤트의 이미지 필드에 explorer.exe가 존재하는 것이 프로세스 생성 이벤트의 explorer.exe 존재와는 완전히 다릅니다. 적절한 로그소스 구성 요소를 제공함으로써 우리는 탐지에 귀중한 컨텍스트를 제공하게 됩니다.

탐지 구성 요소

탐지 구성 요소는 작성자가 탐지 기준을 정의하는 곳입니다. 여기에는 최소 하나의 선택 구성 요소 와 조건 구성 요소가 포함되어 있습니다. 시간 프레임 구성 요소 가 선택적으로 포함되며 상관 관계 기반 규칙에는 필수적으로 포함됩니다.

선택 하위 구성 요소:

• 일반적으로, 이것은 다음과 같은 형태를 취합니다 필드 A 포함/시작/끝/동일 값 B와 같이. 위의 예제 규칙에서 관찰된 바와 같이, 필요에 따라 작성자는 필드 A 포함/시작/끝/동일 값 X, Y, 또는 Z. 와 같은 논리를 확장하고 포함할 수 있습니다. 이 논리는 항상 대소문자를 구분하지 않습니다.
  
  
• 보다 정교한 작성자를 위해 규칙의 복잡성을 증가시키거나 더 정확하게 작성할 수 있는 ‘수정자’가 있습니다. 예를 들어, 정규 표현식은 re 연산자를 통해 처리되며 고객이 케이스에 민감한 쿼리를 작성할 수 있도록 합니다. 호환성을 위해 기본 정규 표현식 연산자만 사용하는 것이 가장 좋습니다 . ? + * | { } [ ] () “ .
  
  
• 선택은 명명됩니다(예: 선택, 선택2, 선택3, 필터). 선택은 원하는 거의 모든 이름을 사용할 수 있습니다. 종종 선택 이라는 변형이 사용되지만, 규칙은 여전히 작동할 수 있습니다. 일반적으로 필터 는 제외될 선택입니다(예: 선택 및 필터 반대 조건 하위 구성 요소: selection AND NOT filter).
  

조건 구성 요소는 각 선택이 최종 쿼리에 어떻게 포함되어야 하는지를 정의하는 부울 논리(및, 또는, 반대)를 포함합니다.

• 예: (
  
  
• 선택_a 또는 선택_b) 및 필터 반대상관 관계 조건 구성 요소

현재 백엔드가 지원하는 두 종류의 상관 관계가 있습니다. SIGMA 스키마에서 지원하는 다른 상관 관계도 있지만 아직 사용 가능한 백엔드에서 지원되지 않습니다.: 

카운트() 필드 Y로:

고유 인스턴스를 세며 필드 값의 비율(작거나 큼)과 정적 수를 비교합니다.
예시:
카운트() 필드 src_ip > 2 카운트(X) 필드 Y로:
고유 인스턴스를 X 필드의 Y값별로 카운트하고 X의 카운트를 정적 수로 비교합니다.
카운트(이벤트 ID) 필드 src_ip >2
카운트() 필드 src_ip > 2 공통 상관 관계 사용 사례:

시간 프레임 하위 구성 요소:

시간 프레임

• The 구성 요소는 상관이 포함된 조건과 함께 사용됩니다. 많은 백엔드에서 시간 프레임을 무시하지만, 일반적으로 포함되며 SOC Prime 포함 대부분의 저장소에 포함되어야 합니다. Splunk를 사용한 완전한 예제들:

다음은 SIGMA와 Splunk에 대한 번역의 예시입니다. Splunk에 익숙하지 않다면, 별표는 와일드 카드이므로 별표로 둘러싸인 용어(예: * 용어 *)는 ‘포함’, 선행 별표가 있는 용어(예: * 용어)는 끝나는 것, 후행 별표가 있는 용어는 ‘끝나는 것'(예: 용어 *)입니다.

• 분류 체계 질문 (예: 필드 이름은 무엇을 사용해야 하는지)

이론적으로 원한다면 어떤 필드 이름이든 사용할 수 있으며, 누군가가 SIGMA 구성을 작성하여 필드를 번역하는 데 시간을 투자할 의향이 있다면, 가능합니다.

필드 이름은 대소문자를 구분합니다!

참고: Field names are case sensitive! 명령줄 and commandline 는 두 가지 다른 값입니다. 명령줄 는 기존 분류 체계의 일부입니다, commandline 아닙니다.

그렇긴 하지만 전체 SIGMA 저장소는 SIGMA 문서화된 필드를 사용하는 것이 가장 좋습니다. 공용 SIGMA 저장소에서 분류 체계를 문서화하는 세 가지 장소가 있습니다.

일반적으로 SIGMA 위키의 범주에 명시된 SIGMA 필드 이름을 사용합니다

• https://github.com/SigmaHQ/sigma/wiki/Taxonomy
• 위키에서는 SIGMA가 사용된다는 것을 독자에게 알립니다
  SYSMON 필드를 엔드포인트 규칙에 사용
  웹 서버 및 프록시 규칙에 대한 W3C 확장 로그 파일 형식
  방화벽, 안티바이러스에 대한 필드

공식화된 필드 사용자 매뉴얼 SIGMA 구성 파일 및 기존 규칙에 명시된 SIGMA 필드 이름

• https://github.com/SigmaHQ/sigma/tree/master/tools/config
  • 실제로 필드의 공식 문서. 규칙을 번역할 때 특히 필요한 경우 사용자가 생성/수정할 수 있습니다.
  • https://github.com/SigmaHQ/sigma/tree/master/rules
    
    

구성이나 규칙이 존재하지 않는다면, 원본 로그 소스에서 원래 필드 이름을 사용합니다. 필드 이름이 중첩 값에서 제공되는 경우(예: userIdentity 하위의 accountId AWS 클라우드트레일) 우리는 필드가 중첩되었음을 나타내기 위해 마침표를 사용하며 이는 다양한 SIEM에 걸쳐 상대적으로 일관성이 있습니다(예: userIdentity -> accountId 가 됩니다 userIdentity.accountId).

SIGMA 규칙 테스트

SIGMA 규칙 테스트는 간단합니다. 종종 사람들은 직접 테스트 없이 콘텐츠를 제출할 수 있습니다. 대부분의 공공 연구자들은 ‘모든 SIEM 집합’에 대해 규칙을 테스트할 수 있는 다양한 환경에 접근할 수 없습니다. 대신, 공공 피드백, 신뢰할 수 있는 파티의 피드백 등에 의존할 수 있습니다. SIGMA의 공동 창립자인 Florian Roth도 자신의 트위터를 통해 정기적으로 피드백을 위해 규칙을 공공에 게시합니다. 또한 개인 블로그나 LinkedIn 등에 직접 게시하는 사람들도 봤습니다. 좋은 규칙을 공유한다고 생각된다면, 그것을 공유하세요, 잘못되었거나 그렇지 않으면 인터넷에 있는 멋진 사람들이 알려줄 것입니다! 자신을 너무 진지하게 여기지 않고, 변경하고 새로운 것을 배울 준비를 하세요.

다음은 할 수 있는 몇 가지 기본 단계입니다:

1. 규칙이 번역되는지 확인하십시오(uncoder 또는 SIGMAC 사용)
2. 점검하기(예: 규칙이 원래 기대에 부합하는지, 올바른 분류 체계를 따르는지 등) – pitfalls 참조: https://github.com/SigmaHQ/sigma/wiki/Rule-Creation-Guide
3. 랩 환경에서 규칙 확인하기
4. 규칙을 테스트하기 위해 널리 공유하기 / SOC Prime 팀에 위협 보상 프로그램을 통해 규칙 공유하기

참고: 규칙 작성자의 관점에서 보면, 일반적으로 규칙의 백엔드 구현에 대해 걱정하지 않아도 됩니다. SIGMA 백엔드 작성자와 SOC Prime과 같은 사람들이 번역이 유효한 규칙의 원래 의도에 부합하는지 보장하는 것은 그들의 책임입니다. 버그가 식별되면 GitHub에 문제를 제출하는 것이 항상 가치가 있습니다.

SOC Prime에 대하여

업계 베테랑

• 2015년에 탐지를 코드화하는 데 산업을 창설한 최초
• 포춘 100개 이상의 글로벌 MDR과 제휴

SOC 운영을 위한 인터페이스

• 탐지부터 시뮬레이션에 이르는 전체 파이프라인을 포함
• 필터 대신 마법 같은 위협 검색

세계 최대의 탐지 인텔리전스 데이터셋

• 650,000개 이상의 탐지 규칙
• 매일 새로운 위협

코어당 실시간 파이프라인 당 100GB/일

• 라인 속도의 ETL 탐지
• Left 탐지 이동, 제대로 완료하기

세계 최대의 탐지 규칙 데이터셋에 접근하세요

가입 무료

아담 스완SOC Prime의 선임 위협 사냥 엔지니어팔로우

엔지니어에게 위협과 탐지를 설명하기 위해 연구합니다.