အကြောင်းအရာသို့ ကရန်

Native Sigma Support

Suzaku သည် Sigma သတ်မှတ်ချက်အတွက် အလွန်ကောင်းမွန်သော native support ရှိပြီး expand (ကြိုတင်ပြင်ဆင်မှု အချို့ လိုအပ်သည်) မှလွဲ၍ field modifier အားလုံးကို ပံ့ပိုးပေးသည်။

ဗားရှင်း 1.0.0 မှစ၍ Suzaku သည် cloud log များတွင် တိုက်ခိုက်မှုများကို ရှာဖွေဖော်ထုတ်ရန် အရေးကြီးသော correlation rule များကိုလည်း ပံ့ပိုးပေးသည်။

မှတ်ချက်- လက်ရှိတွင် correlation rule များကို single file များအဖြစ် ဖန်တီးရန် လိုအပ်ပါသည်။

Event Count Rules

ဤ rule များသည် အချို့သော event များကို ရေတွက်ပြီး၊ ၎င်း event အရေအတွက် များလွန်းခြင်း သို့မဟုတ် နည်းလွန်းခြင်းဖြစ်ပါက သတ်မှတ်ထားသော အချိန်ကာလအတွင်း သတိပေးချက်ထုတ်ပေးသော rule များ ဖြစ်သည်။ သတ်မှတ်အချိန်ကာလအတွင်း event များစွာကို ရှာဖွေဖော်ထုတ်ခြင်း၏ ဘုံဥပမာများမှာ password ခန့်မှန်းတိုက်ခိုက်မှုများ၊ password spray တိုက်ခိုက်မှုများနှင့် denial of service တိုက်ခိုက်မှုများကို ရှာဖွေဖော်ထုတ်ခြင်းတို့ ဖြစ်သည်။ အချို့သော event များသည် သတ်မှတ်ထားသော threshold အောက်သို့ ကျဆင်းသွားသည့်အခါကဲ့သို့သော log source ၏ ယုံကြည်စိတ်ချရမှု ပြဿနာများကို ရှာဖွေဖော်ထုတ်ရန်လည်း ဤ rule များကို သုံးနိုင်သည်။

Event Count Rule Example

title: Correlation Test
id: 49d15187-4203-4e11-8acd-8736f25b6609
status: test
author: TEST
correlation:
    type: event_count
    rules:
        - Console Login With MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 3
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login With MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'Yes'
    condition: selection
level: informational

Value Count Rules

ဤ rule များသည် သတ်မှတ်အချိန်ကာလအတွင်း တူညီသော event များကို ပေးထားသော field ၏ မတူညီသော တန်ဖိုးများဖြင့် ရေတွက်သည်။

ဥပမာများ- - single source IP address တစ်ခုက မတူညီသော destination IP address များ နှင့်/သို့မဟုတ် port များစွာသို့ ချိတ်ဆက်ရန် ကြိုးစားသော network scan များ။ - single source တစ်ခုက မတူညီသော user များစွာဖြင့် authenticate လုပ်ရာတွင် ကျရှုံးသော password spraying တိုက်ခိုက်မှုများ။ - တိုတောင်းသော အချိန်ကာလအတွင်း high-privilege AD group များစွာကို စာရင်းကောက်ယူသော BloodHound ကဲ့သို့သော tool များကို ရှာဖွေဖော်ထုတ်ခြင်း။

Value Count Rule Example

title: Correlation value_count Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: value_count
    rules:
        - Console Login Without MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 2
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login Without MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium

Temporal Proximity Rules

rule field မှ ရည်ညွှန်းထားသော rule များက သတ်မှတ်ထားသော event အားလုံးသည် timespan က သတ်မှတ်ထားသော အချိန်ကာလအတွင်း ဖြစ်ပေါ်ရမည်။ group-by တွင် သတ်မှတ်ထားသော field များ၏ တန်ဖိုးများသည် တူညီသော တန်ဖိုး ဖြစ်ရမည် (ဥပမာ- တူညီသော host၊ user စသည်...)။

ဥပမာတစ်ခုမှာ တူညီသော source IP address တစ်ခုမှ မိနစ် 5 အတွင်း ကြိုက်နှစ်သက်ရာ အစီအစဉ်ဖြင့် ခေါ်ဆိုထားသော Sigma rule သုံးခုတွင် သတ်မှတ်ထားသော reconnaissance API call များ ဖြစ်သည်။

Temporal Proximity Rule Example

title: Correlation temporal Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal
    rules:
        - CloudTrail Log Settings Modified
        - Console Login Without MFA
        - Role Enumeration
    timespan: 3d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low

Temporal Ordered Rules

temporal_ordered correlation အမျိုးအစားသည် temporal ကဲ့သို့ ပြုမူပြီး၊ ထို့အပြင် event များသည် rules attribute တွင် ပေးထားသော အစီအစဉ်အတိုင်း ပေါ်လာရန် လိုအပ်သည်။

ဥပမာတစ်ခုမှာ login ကျရှုံးမှုများစွာ ပြီးနောက် login အောင်မြင်မှုတစ်ခု ဖြစ်သည်။

Temporal Ordered Rule Example

title: Correlation temporal_ordered Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal_ordered
    rules:
        - Console Login Without MFA
        - Role Enumeration
        - CloudTrail Log Settings Modified
    timespan: 1d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low