ArcSight를 위한 Sigma 규칙 가이드

Sigma 소개

Sigma는 Florian Roth와 Thomas Patzke가 만든 SIEM 시스템을 위한 범용 서명 형식을 만드는 오픈 소스 프로젝트입니다. 일반적인 비유로는 Sigma가 로그 파일의 Snort에 대한 IDS의 역할과 파일 기반 악성코드 탐지를 위한 YARA의 역할이라고 할 수 있습니다. 그러나 Snort와 YARA와는 달리 Sigma에 대한 지원은 각각의 애플리케이션에 내장될 필요가 없습니다. Sigma는 모든 플랫폼별 쿼리 언어에 대한 ‘로제타 스톤’ 역할을 하며 다양한 검색 언어 간의 번역을 가능하게 합니다. 아래는 몇 가지 예입니다:

Sigma → ArcSight
ArcSight → Sigma → Splunk
Splunk → Sigma → ArcSight
QRadar → Sigma → ArcSight

변환은 ElasticSearch, Kibana, GrayLog, LogPoint, Splunk, QRadar, ArcSight, Qualys를 이미 지원하며 꾸준히 추가되고 있습니다! 이는 전통적인 상관 규칙과 검색의 개발에 수반되는 오버헤드를 크게 줄이는 SIEM 위협 탐지의 혁신적인 새로운 접근 방식을 나타냅니다.https://github.com/Neo23x0/sigma – Sigma의 Github 페이지 방문

SOC Prime과 Sigma

보안 엔지니어가 설립한 회사로서, 우리는 항상 업계에서의 흥미로운 발전에 주의를 기울이고 있으며 커뮤니티에 환원할 방법을 지속적으로 찾고 있습니다. SOC Prime은 Sigma 표준의 개발에 기여하고, Sigma 저자와 우리 위협 탐지 마켓플레이스의 커뮤니티 회원들 간의 교량 역할을 하며 이를 달성합니다. 이 마켓플레이스는 2200개 이상의 조직과 4000명 이상의 사용자를 포함하고 있습니다. Sigma 프로젝트에 백엔드 변환기를 기여하는 것 외에도, SOC Prime은 Sigma 규칙의 개발, 변환 및 소비를 돕기 위해 무료로 제공되는 여러 리소스를 호스팅합니다.개발Sigma 언어는 상당히 의미론적이지만, 어떤 사람들은 개발 시 시각적 편집기를 선호한다는 것을 인정합니다. 우리는 ‘Sigma UI 에디터’를 우리의 위협 탐지 마켓플레이스에 호스팅하여, 사용자들이 우리 구문 검사 및 다양한 플랫폼의 내보내기 기능을 활용할 수 있도록 했습니다. 이것이 Sigma 개발을 위한 웹 기반의 가벼운 IDE라는 말을 하곤 합니다.Sigma UI 에디터에 액세스하기: https://tdm.socprime.com/sigma/

변환SOC Prime은 사용자가 지원되는 언어의 검색 쿼리를 다른 언어로 변환하는 데 도움을 주기 위해 ‘Uncoder.io’를 만들었습니다. 이 기능은 Google 번역과 유사합니다. 그냥 한 언어를 붙여 넣고 출력 언어를 선택한 다음 변환 버튼을 누르세요! 우리는 Sigma 언어를 공통 분모로 사용하여 플랫폼 간 변환도 가능하게 합니다. 기본적으로, 우리는 번역기에 입력된 정보를 보관하지 않습니다. 하지만 특정 변환에서 오류가 발견되면, 우리와 쿼리를 공유하여 도구 개선에 도움을 주세요.번역 도구에 액세스하기: https://uncoder.io/#

소비SOC Prime은 Sigma 콘텐츠를 우리 위협 탐지 마켓플레이스에서 호스팅하게 되어 자랑스럽습니다. 인기 있는 SIEM 시스템을 위해 특별히 제작된 콘텐츠 외에도, TDM은 사전 변환된 200개 이상의 무료 Sigma 규칙을 호스팅합니다. 2200개 이상의 조직과 4000명 이상의 사용자로 구성된 커뮤니티와 함께 개발자들이 탐지 콘텐츠를 공유하고 소비할 수 있는 공통 공간을 제공합니다. 각 규칙을 로그 소스, 위협 행위자 및 심지어 MITRE ATT&CK 매트릭스를 통해 TTP로 태깅하여 규칙을 탐색하기 쉽게 만듭니다. 가입은 무료이며, 콘텐츠의 3분의 2 이상은 다운로드 비용이 없습니다!여기에서 무료로 가입하세요: https://tdm.socprime.com자신만의 Sigma 규칙을 만들고 싶으신가요? 우리의 초보자를 위한 Sigma 규칙 안내서.

ArcSight에서 Sigma 활용

초기 테스트 및 설정1. ArcSight Command Center 또는 Logger 인스턴스에 로그인합니다.

2. 테스트 쿼리를 검색 필드에 붙여 넣고 시간 프레임을 선택합니다.

3. 결과를 검토합니다.

저장된 검색 및 일정 설정1. 검색을 저장된 검색으로 저장합니다.

1. 명명법 ‘Sigma: RULE NAME’을 사용하세요. 여기서 RULE NAME은 TDM의 Sigma 규칙 이름입니다.
2. 옵션 ‘일정 설정’을 선택하세요.
3. 저장 선택

2. ‘일정 설정을 수정하시겠습니까?’라는 대화 상자가 나타납니다. 확인을 선택합니다.3. 다음 구성 옵션을 사용합니다:

1. 1. 시간 기간 지정 (이는 사용자의 환경 및 선호도에 따라 다릅니다)
   2. ‘ArcSight Command Center에 저장’을 선택합니다.
   3. ‘익스포트 디렉토리 이름’을 비워 둡니다.
   4. ‘모든 필드’ 옵션의 선택을 해제합니다.
   5. ‘필드’ 옵션에 다음 텍스트를 붙여 넣습니다:endTime,name,sourceAddress,destinationAddress,priority,deviceVendor,deviceProduct,categoryBehavior,categoryDeviceGroup,categoryOutcome,categorySignificance,destinationHostName,destinationPort,destinationProcessName,destinationServiceName,destinationUserId,destinationUserName,deviceAction,deviceAddress,deviceHostname,deviceProcessName,deviceCustomNumber1,deviceCustomNumber1Label,deviceCustomNumber2,deviceCustomNumber2Label,deviceCustomString1,deviceCustomString1Label,deviceCustomString2,deviceCustomString2Label,deviceCustomString3,deviceCustomString3Label,deviceCustomString4,deviceCustomString4Label,deviceCustomString5,deviceCustomString5Label,deviceCustomString6,deviceCustomString6Label,fileName,filePath,flexString1,flexString1Label,flexString2,flexString2Label,sourceHostName,sourcePort,sourceProcessName,sourceServiceName,sourceUserId,sourceUserName

“요약 포함” 및 “CEF 이벤트만 포함”은 체크 해제된 상태로 둡니다.4. 저장된 검색 결과에 액세스하기:

1. 관리 > 저장된 검색을 클릭한 다음 저장된 검색 파일 탭을 엽니다. 검색 결과가 포함된 파일이 표시됩니다.
2. 파일을 다운로드하고 열려면, 이름 열에서 링크를 클릭하거나 행에서 검색 아이콘을 클릭하세요.

5. 또는 다음 디렉토리에서 결과를 수동으로 검토하십시오./opt/arcsight/logger/userdata/logger/user/logger/data/savedsearch 디렉토리

SIGMA 규칙 통합 팩저장된 검색 결과를 수동으로 검토하는 대신, SOC Prime은 ArcSight에 대한 데이터 수집 및 ESM에서 실질적인 정보를 생성하는 전체 프레임워크를 개발했습니다. 여기에는 베테랑 엔지니어가 설계하고 자체 SOC에서 테스트한 FlexConnector, 필터, 대시보드 및 Active Channel이 포함됩니다.이 패키지는 위협 탐지 마켓플레이스를 통해 무료로 다운로드할 수 있습니다: https://tdm.socprime.com/tdm/info/33/