Back

EN | RU

OSCD Sprint #1: Threat Detection

Существует проект Sigma — Общий формат сигнатур для SIEM систем. В нем есть конвертор который генерирует поисковые запросы для различных SIEM систем и набор правил обнаружения.

Со временем набор правил проекта Sigma стал самым большим и зрелым набором правил обнаружения, управляемым сообществом. В нем вы можете найти правила обнаружения угроз (правила "корреляции") для новых угроз (например эксплойт для BlueKeep), утилит для эмуляции угроз (Empire, Cobalt Strike), вредоносного поведения (Token stealing), и многое другое. Большинство правил имеют привязку к MITRE ATT&CK.

Даже если вы не используете конвертор Sigma, вы можете извлечь выгоду из его обновляемого набора правил обнаружения угроз. Большинство продвинутых команд по безопасности подписаны на обновления проекта Sigma на GitHub. Это отличное время чтобы подписаться, если вы этого еще не сделали.

В этом проекте есть пробелы и проблемы, в то же время в публичном доступе существует множество достойных исследований, материалы которых пока не были добавлены в репозиторий проекта. Это то на чем мы решили сосредоточиться.

Цели

- Улучшить покрытие MITRE ATT&CK фреймворка правилами проекта Sigma
- Продвинуть культуру использования правил Sigma

План

1. Двухнедельный спринт начинается 21 Октября 2019
2. Участники выбирают задачи из беклога или предоставляют/разрабатывают иную аналитику
3. Разработка и тестирование происходят посредством общей или личной лаборатории
4. Участники опираются на специальное руководство с описанием рабочего процесса
5. Результаты будут собраны, проверены и добавлены в репозиторий проекта Sigma на GitHub

Результаты

- добавлено 144 новых правила Sigma
- улучшено 19 существующих правил
- удалены два существующих правила

Листинг правил доступен в описанни Pull Request в репозитории Sigma.
Итоги опубликованы в статьях на Хабре (RU) и Medium (EN).

Участники

- Томас Пацке, @blubbfiction (Sigma Project) 🇩🇪
- Теймур Хеирхабаров, @HeirhabarovT (BI.ZONE SOC) 🇷🇺
- Дэниэл Бохэннон, @danielhbohannon (FireEye) 🇺🇸
- Алексей Потапов (PT ESC) 🇷🇺
- Кирилл Кирьянов (PT ESC) 🇷🇺
- Егор Подмоков (PT ESC) 🇷🇺
- Антон Кутепов (PT ESC) 🇷🇺
- Алексей Леднев (PT ESC) 🇷🇺
- Антон Тюрин (PT ESC) 🇷🇺
- Ева Мария Анхауз (BSI) 🇩🇪
- Ян Хазенбуш (BSI) 🇩🇪
- Диего Перез, @darkquassar (Независимый Исследователь) 🇦🇷
- Михаил Ларин (Jet CSIRT) 🇷🇺
- Александр Ахремчик (Jet CSIRT) 🇷🇺
- Дмитрий Лифанов (Jet CSIRT) 🇷🇺
- Алексей Баладин, @Kriks87 (Jet CSIRT) 🇷🇺
- Роман Резвухин (CERT-GIB) 🇷🇺
- Алина Степченкова (CERT-GIB) 🇷🇺
- Тимур Зиннятуллин (Angara technologies group) 🇷🇺
- Глеб Суходольский (Angara technologies group) 🇷🇺
- Виктор Сергеев, @stvetro (Help AG) 🇦🇪
- Ильяс Очков, @CatSchrodinger (Независимый Исследователь) 🇷🇺
- Джеймс Пембетон, @4A616D6573 (Hydro Tasmania) 🇦🇺
- Денис Бею (ГКУ ТО ЦИТТО) 🇷🇺
- Матэуш Выдра, @sn0w0tter (Relativity) 🇵🇱
- Якоб Вайнзетл, @mrblacyk (Tieto SOC) 🇵🇱
- Том Керн (NIL SOC) 🇸🇮
- Сергей Солдатов, @SVSoldatov (Kaspersky MDR) 🇷🇺
- Иэн Дэвис (Tieto SOC) 🇨🇿
- Даниил Югославский, @yugoslavskiy (Cindicator SOC) 🇷🇺

Благодарности

- Организаторам hack.lu за место на конференции

EN | RU

Back