Rose debug info
---------------

Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Sigma — общий формат сигнатур для SIEM

Sigma — язык описания индикаторов компрометации для системных событий.

По мере популярности Sigma для логов должен стать тем же, что YARA для файлов и Snort для сетевого трафика.

Sigma-правило представляет собой YAML-файл определенной спецификации.

Официальный гайд по написанию Sigma-правил.

Создавать собственные правила можно на основе готовых, которые расположены здесь.

Правило для обнаружения Quarks PWDump, утилиты для сброса паролей. Отслеживаем журнал SysInternals Sysmon. Добавляем строку, которая соответствует полю ’TargetFileName’ в событиях Sysmon типа 11 [2].

Конвертер из Sigma в правила различных SIEM.

Модуль на Python: sigmatools

Дополнительно:

  1. Sigma rules. Поделка или новый стандарт для SOC
  2. How to Write Sigma Rules
  3. Про Sigma-правила
Подписаться на блог
Поделиться
Отправить
Запинить
 112   11 мес   Infosec   Security   SIEM
Дальше