Yerel Sigma Desteği¶
Suzaku, Sigma spesifikasyonu için çok iyi bir yerel desteğe sahiptir ve bir miktar ön yapılandırma gerektiren expand dışındaki tüm alan değiştiricilerini destekler.
Sürüm 1.0.0 itibarıyla Suzaku, bulut günlüklerindeki saldırıları tespit etmek için önemli olan korelasyon kurallarını da destekler.
Not: Şu anda korelasyon kurallarını tek dosyalar halinde oluşturmanız gerekmektedir.
Olay Sayısı Kuralları¶
Bunlar, belirli olayları sayan ve bu olaylardan çok fazla veya yeterince olmayan sayıda bir zaman dilimi içinde meydana gelmesi durumunda uyarı veren kurallardır. Belirli bir zaman diliminde çok sayıda olayın tespit edilmesine ilişkin yaygın örnekler, parola tahmin saldırılarını, parola püskürtme saldırılarını ve hizmet reddi saldırılarını tespit etmeye yöneliktir. Bu kuralları, belirli olayların belirli bir eşiğin altına düşmesi gibi günlük kaynağı güvenilirliği sorunlarını tespit etmek için de kullanabilirsiniz.
Olay Sayısı Kuralı Örneği¶
title: Correlation Test
id: 49d15187-4203-4e11-8acd-8736f25b6609
status: test
author: TEST
correlation:
type: event_count
rules:
- Console Login With MFA
group-by:
- sourceIPAddress
timespan: 3d
condition:
gte: 3
field: sourceIPAddress
generate: true
level: high
---
title: Console Login With MFA
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: signin.amazonaws.com
eventName: 'ConsoleLogin'
additionalEventData.MFAUsed: 'Yes'
condition: selection
level: informational
Değer Sayısı Kuralları¶
Bu kurallar, belirli bir alanın farklı değerleriyle aynı olayları bir zaman dilimi içinde sayar.
Örnekler: - Tek bir kaynak IP adresinin birçok farklı hedef IP adresine ve/veya bağlantı noktasına bağlanmaya çalıştığı ağ taramaları. - Tek bir kaynağın birçok farklı kullanıcıyla kimlik doğrulamasını başaramadığı parola püskürtme saldırıları. - Kısa bir zaman dilimi içinde birçok yüksek ayrıcalıklı AD grubunu numaralandıran BloodHound gibi araçların tespit edilmesi.
Değer Sayısı Kuralı Örneği¶
title: Correlation value_count Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
type: value_count
rules:
- Console Login Without MFA
group-by:
- sourceIPAddress
timespan: 3d
condition:
gte: 2
field: sourceIPAddress
generate: true
level: high
---
title: Console Login Without MFA
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: signin.amazonaws.com
eventName: 'ConsoleLogin'
additionalEventData.MFAUsed: 'No'
condition: selection
level: medium
Zamansal Yakınlık Kuralları¶
Kural alanı tarafından atıfta bulunulan kurallarca tanımlanan tüm olaylar, timespan tarafından tanımlanan zaman diliminde meydana gelmelidir.
group-by içinde tanımlanan alanların değerlerinin tümü aynı değere sahip olmalıdır (örneğin: aynı ana bilgisayar, kullanıcı vb.).
Bir örnek, aynı kaynak IP adresinden 5 dakika içinde rastgele sırayla çağrılan üç Sigma kuralında tanımlanan keşif API çağrılarıdır.
Zamansal Yakınlık Kuralı Örneği¶
title: Correlation temporal Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
type: temporal
rules:
- CloudTrail Log Settings Modified
- Console Login Without MFA
- Role Enumeration
timespan: 3d
generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: 'cloudtrail.amazonaws.com'
eventName: 'UpdateTrail'
filter:
errorCode: 'AccessDenied'
condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: signin.amazonaws.com
eventName: 'ConsoleLogin'
additionalEventData.MFAUsed: 'No'
condition: selection
level: medium
---
title: Role Enumeration
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: 'iam.amazonaws.com'
eventName: 'ListRoles'
condition: selection
falsepositives:
level: low
Zamansal Sıralı Kurallar¶
temporal_ordered korelasyon türü temporal gibi davranır ve buna ek olarak olayların rules özniteliğinde verilen sırada görünmesini gerektirir.
Bir örnek, birçok başarısız oturum açma denemesinin ardından başarılı bir oturum açmadır.
Zamansal Sıralı Kural Örneği¶
title: Correlation temporal_ordered Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
type: temporal_ordered
rules:
- Console Login Without MFA
- Role Enumeration
- CloudTrail Log Settings Modified
timespan: 1d
generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: 'cloudtrail.amazonaws.com'
eventName: 'UpdateTrail'
filter:
errorCode: 'AccessDenied'
condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: signin.amazonaws.com
eventName: 'ConsoleLogin'
additionalEventData.MFAUsed: 'No'
condition: selection
level: medium
---
title: Role Enumeration
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventSource: 'iam.amazonaws.com'
eventName: 'ListRoles'
condition: selection
falsepositives:
level: low