Главная

EN | RU

OSCD

OSCD Sprint #1: Threat Detection


Существует проект Sigma — Общий формат сигнатур для SIEM систем. В нем есть конвертор который генерирует поисковые запросы для различных SIEM систем и набор правил обнаружения.

Со временем набор правил проекта Sigma стал самым большим и зрелым набором правил обнаружения, управляемым сообществом. В нем вы можете найти правила обнаружения угроз (правила "корреляции") для новых угроз (например эксплойт для BlueKeep), утилит для эмуляции угроз (Empire, Cobalt Strike), вредоносного поведения (Token stealing), и многое другое. Большинство правил имеют привязку к MITRE ATT&CK.

Даже если вы не используете конвертор Sigma, вы можете извлечь выгоду из его обновляемого набора правил обнаружения угроз. Большинство продвинутых команд по безопасности подписаны на обновления проекта Sigma на GitHub. Это отличное время чтобы подписаться, если вы этого еще не сделали.

В этом проекте есть пробелы и проблемы, в то же время в публичном доступе существует множество достойных исследований, материалы которых пока не были добавлены в репозиторий проекта. Это то на чем мы решили сосредоточиться.

Цели

- Улучшить покрытие фреймворка MITRE ATT&CK правилами проекта Sigma
- Продвинуть культуру использования правил Sigma

План

1. Двухнедельный спринт начинается 21 Октября 2019
2. Участники выбирают задачи из бэклога или предоставляют/разрабатывают иную аналитику
3. Разработка и тестирование происходят посредством общей или личной лаборатории
4. Участники опираются на специальное руководство с описанием рабочего процесса
5. Результаты будут собраны, проверены и добавлены в репозиторий проекта Sigma на GitHub

Результаты

- Разработали 144 правила Sigma
- Улучшили 19 существующих правил, и удалили 2

Таким образом, мы увеличили набор правил проекта Sigma более чем на 40%.

Листинг правил доступен в описании Pull Request в репозитории Sigma.
Итоги опубликованы в статье на Medium.

Участники

🇩🇪 Ева Мария Анхауз | BSI
🇩🇪 Ян Хазенбуш | BSI
🇩🇪 Томас Пацке | Sigma Project
🇷🇺 Денис Бею | Независимый Исследователь
🇷🇺 Ильяс Очков | Независимый Исследователь
🇷🇺 Теймур Хеирхабаров | BI.ZONE SOC
🇵🇱 Якоб Вайнзетл | Tieto SOC
🇵🇱 Матэуш Выдра | Relativity
🇦🇪 Виктор Сергеев | Help AG
🇦🇷 Диего Перез | Независимый Исследователь
🇦🇺 Джеймс Пембетон | Hydro Tasmania
🇨🇿 Иэн Дэвис | Tieto SOC
Даниил Югославский | Atomic Threat Coverage
🇸🇬 Глеб Суходольский | Независимый Исследователь
🇸🇮 Том Керн | NIL SOC
🇺🇸 Дэниэл Бохэннон | FireEye


Благодарности

- Организаторам hack.lu за место на конференции


EN | RU

Главная