انتقل إلى المحتوى

دعم Sigma الأصلي

يتمتع Suzaku بدعم أصلي جيد جدًا لمواصفات Sigma ويدعم جميع معدِّلات الحقول باستثناء expand الذي يتطلب بعض الإعداد المسبق.

اعتبارًا من الإصدار 1.0.0، يدعم Suzaku أيضًا قواعد الارتباط (correlation rules) التي تُعد مهمة لاكتشاف الهجمات في سجلات السحابة.

ملاحظة: حاليًا، تحتاج إلى إنشاء قواعد الارتباط في ملفات منفردة.

قواعد عدّ الأحداث

هذه قواعد تقوم بعدّ أحداث معينة وتُطلق تنبيهًا إذا وقع عدد كبير جدًا أو غير كافٍ من هذه الأحداث ضمن إطار زمني محدد. أمثلة شائعة لاكتشاف العديد من الأحداث ضمن فترة زمنية معينة هي اكتشاف هجمات تخمين كلمات المرور، وهجمات رش كلمات المرور (password spray)، وهجمات حجب الخدمة. يمكنك أيضًا استخدام هذه القواعد لاكتشاف مشكلات موثوقية مصدر السجل، مثل عندما تنخفض أحداث معينة دون عتبة معينة.

مثال على قاعدة عدّ الأحداث

title: Correlation Test
id: 49d15187-4203-4e11-8acd-8736f25b6609
status: test
author: TEST
correlation:
    type: event_count
    rules:
        - Console Login With MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 3
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login With MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'Yes'
    condition: selection
level: informational

قواعد عدّ القيم

تقوم هذه القواعد بعدّ نفس الأحداث ضمن إطار زمني بقيم مختلفة لحقل معين.

أمثلة: - عمليات مسح الشبكة حيث يحاول عنوان IP مصدر واحد الاتصال بالعديد من عناوين IP و/أو المنافذ الوجهة المختلفة. - هجمات رش كلمات المرور حيث يفشل مصدر واحد في المصادقة مع العديد من المستخدمين المختلفين. - اكتشاف أدوات مثل BloodHound التي تعدّد العديد من مجموعات AD ذات الامتيازات العالية ضمن إطار زمني قصير.

مثال على قاعدة عدّ القيم

title: Correlation value_count Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: value_count
    rules:
        - Console Login Without MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 2
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login Without MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium

قواعد التقارب الزمني

يجب أن تقع جميع الأحداث المحددة بواسطة القواعد المشار إليها بحقل القاعدة ضمن الإطار الزمني المحدد بواسطة timespan. يجب أن تكون قيم الحقول المحددة في group-by كلها بنفس القيمة (مثل: نفس المضيف، المستخدم، إلخ...).

من الأمثلة على ذلك استدعاءات API الاستطلاعية المحددة في ثلاث قواعد Sigma المستدعاة بترتيب عشوائي خلال 5 دقائق من نفس عنوان IP المصدر.

مثال على قاعدة التقارب الزمني

title: Correlation temporal Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal
    rules:
        - CloudTrail Log Settings Modified
        - Console Login Without MFA
        - Role Enumeration
    timespan: 3d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low

قواعد الترتيب الزمني

يتصرف نوع الارتباط temporal_ordered مثل temporal ويتطلب بالإضافة إلى ذلك أن تظهر الأحداث بالترتيب المُقدَّم في خاصية rules.

من الأمثلة على ذلك العديد من محاولات تسجيل الدخول الفاشلة متبوعة بتسجيل دخول ناجح.

مثال على قاعدة الترتيب الزمني

title: Correlation temporal_ordered Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal_ordered
    rules:
        - Console Login Without MFA
        - Role Enumeration
        - CloudTrail Log Settings Modified
    timespan: 1d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low