OSCD Sprint #2: Backlog
В этот раз мы решили детализировать бэклог до небольших задач с указанием примерного времени решения - Estimated Time to Complete (ETC). Для большинства задач ETC равно 20-30 минутам. Детальное описание задач по каждому из направлений можно найти в GitHub issues, ссылки на которые перечислены в соответствующих таблицах.
Мы также указали необходимые знания для решения каждой задачи. Вы можете найти необходимую информацию касательно этого и других важных аспектов в специальном руководстве — OSCD How-To.
Стоит отметить что бэклог не ограничивает ваши возможности по вкладу в проекты, над которыми мы будем работать в ходе второго спринта. Вы можете поделиться любой разработанной анатиликой (тестами Atomic Red Team, правилами Sigma, модулями реагирования TheHive), вне зависимости от перечисленных в бэклоге задач.
Threat Detection
Одной из наиболее критичных проблем набора правил проекта Sigma является недостаток возможностей по обнаружению индикаторов обфускации команд CMD/PowerShell. Решение данной проблемы является нашей первостепенной задачей.Также перечислены задачи по разработке правил Sigma на основе опубликованных исследований в области Обнаружения Угроз и утилит для Эмуляции Угроз.
| GitHub Issue (задачи доступны по ссылке) | Необходимые Знания | |
|---|---|---|
| Windows: Invoke-Obfuscation | Regexes, Правила Sigma | < 30 min |
| Windows: Invoke-DOSfuscation | Regexes, Правила Sigma | ~ 1 час |
| Windows: LOLBAS | Правила Sigma | < 30 мин |
| Windows: Lateral Movement | Запросы Splunk, Правила Sigma | < 30 мин |
| Windows: PowerShell Abuse | Запросы Kibana, Правила Sigma | < 30 мин |
| Windows: Privilege Escalation | Запросы Kibana, Правила Sigma | < 30 мин |
| Windows: ART cross-coverage | Тесты Atomic Red Team, Правила Sigma | ~ 1 час[*] |
| macOS: ART cross-coverage | Тесты Atomic Red Team, Правила Sigma | ~ 1 час |
| Linux: ART cross-coverage | Тесты Atomic Red Team, Правила Sigma | ~ 1 час[*] |
Adversary Simulation
Мы проанализировали текущее покрытие правил Sigma тестами Atomic Red Team и составили список недостающих тестов, которые реалистично разработать в ходе спринта.| GitHub Issue (задачи доступны по ссылке) | Необходимые Знания | |
|---|---|---|
| Тесты Atomic Red Team для Windows | Тесты Atomic Red Team, Правила Sigma | ~ 1 час[*] |
| Тест Atomic Red Team для Linux | Тесты Atomic Red Team, Правила Sigma | ~ 30 мин |
Incident Response
Каждое из перечисленных GitHub issues является самостоятельной задачей по разработке Модуля Реагирования (TheHive Responder), включающего в себя несколько Действий Реагирования. Это самые сложные задачи, требующие серьезных временных вложений (до 16 часов, при наличии необходимых знаний). Рекомендуется решать эти задачи группой из двух-трех специалистов. Единомышленников можно найти в комментариях к конкретному issue на GitHub.| GitHub Issue | Необходимые Знания | |
|---|---|---|
| Palo Alto NGFW | Python, TheHive Responders | ~ 16 часов |
| Carbon Black Predictive Security Cloud | Python, TheHive Responders | ~ 8 часов |
| Duo Security | Python, TheHive Responders | ~ 4 часа |
| Azure Active Directory | Python, TheHive Responders | ~ 4 часа |
| Google Gmail | Python, TheHive Responders | ~ 8 часов |
[*] ETC для большинства задач. Те задачи, которые могут занять больше времени, отдельно выделены в списке задач GitHub issue.