시그마

이 블로그 게시물은 SIGMA를 탐지 언어로 활용하는 것을 주제로 하며, 가장 중요한 SIGMA 규칙 구성 요소(로그소스 및 탐지), SIGMA 분류 체계, SIGMA 규칙 테스트 등을 다룹니다. 및 SIGMA에 익숙하지 않은 분석가들이 첫 번째 규칙을 작성하도록 준비시키는 과정입니다. 또한, SIGMA를 이용한 탐지 엔지니어링에 대한 소음, 아이디어, 로그 소스 등의 짧은 토론도 제공합니다. SIGMA 규칙 사례 과거에는 […]

목적 이 게시물의 목적은 SIGMA와 IOC 기반 탐지 방법의 장점을 강조하는 것입니다. 소개 침해 지표 (IOCs) – 보안 연구자들이 보고한 IP, 도메인, 해시, 파일명 등은 시스템과 SIEM에 쿼리되어 침입 여부를 찾습니다. 이러한 지표는 알려진 공격에 대해 작동하며 유용한 수명이 짧고 사후에 검사할 때 가장 유용합니다. 이는 보고서에서 지표가 노출되면 그들이 작성된 악성코드 및 인프라가 쉽게 […]

컴플라이언스는 항상 반응적인 프로세스로 존재해 왔습니다. 이는 표준이 길며, 업데이트에는 많은 노력이 필요하고 시간이 걸리며, 구현에도 더 많은 시간이 필요하며 감사 프로세스는 1년에 한 번 일어나기 때문입니다. SIEM 세계에서 시작하여, 나는 컴플라이언스를 일반적으로 외부 감사인에게 설명할 수 없는 공허한 결과나 쓸모없는 결과를 반환하는 캔된 보고서를 통해 다루었습니다. 반면, 보고서와 쿼리의 기본 논리는 모호하며 최소한 유지를 […]

Sigma 소개 Sigma는 Florian Roth와 Thomas Patzke가 만든 SIEM 시스템을 위한 범용 서명 형식을 만드는 오픈 소스 프로젝트입니다. 일반적인 비유로는 Sigma가 로그 파일의 Snort에 대한 IDS의 역할과 파일 기반 악성코드 탐지를 위한 YARA의 역할이라고 할 수 있습니다. 그러나 Snort와 YARA와는 달리 Sigma에 대한 지원은 각각의 애플리케이션에 내장될 필요가 없습니다. Sigma는 모든 플랫폼별 쿼리 언어에 대한 […]