Перейти до змісту

Нативна підтримка Sigma

Suzaku має дуже хорошу нативну підтримку специфікації Sigma і підтримує всі модифікатори полів, окрім expand, який потребує деякої попередньої конфігурації.

Починаючи з версії 1.0.0, Suzaku також підтримує кореляційні правила, які є важливими для виявлення атак у хмарних логах.

Примітка: Наразі вам потрібно створювати кореляційні правила в окремих файлах.

Правила підрахунку подій

Це правила, які підраховують певні події та сповіщають, якщо протягом певного проміжку часу відбувається занадто багато або недостатньо таких подій. Поширеними прикладами виявлення великої кількості подій протягом певного періоду часу є виявлення атак підбору паролів, атак розпилення паролів та атак на відмову в обслуговуванні. Ви також можете використовувати ці правила для виявлення проблем з надійністю джерела логів, наприклад, коли певні події опускаються нижче певного порогу.

Приклад правила підрахунку подій

title: Correlation Test
id: 49d15187-4203-4e11-8acd-8736f25b6609
status: test
author: TEST
correlation:
    type: event_count
    rules:
        - Console Login With MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 3
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login With MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'Yes'
    condition: selection
level: informational

Правила підрахунку значень

Ці правила підраховують однакові події протягом проміжку часу з різними значеннями заданого поля.

Приклади: - Сканування мережі, коли одна вихідна IP-адреса намагається підключитися до багатьох різних адрес призначення та/або портів. - Атаки розпилення паролів, коли одне джерело не може автентифікуватися з багатьма різними користувачами. - Виявлення інструментів на кшталт BloodHound, які перераховують багато груп AD з високими привілеями за короткий проміжок часу.

Приклад правила підрахунку значень

title: Correlation value_count Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: value_count
    rules:
        - Console Login Without MFA
    group-by:
        - sourceIPAddress
    timespan: 3d
    condition:
        gte: 2
        field: sourceIPAddress
    generate: true 
level: high
---
title: Console Login Without MFA
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium

Правила часової близькості

Усі події, визначені правилами, на які посилається поле rule, повинні відбутися у проміжку часу, визначеному timespan. Значення полів, визначених у group-by, повинні всі мати однакове значення (наприклад: той самий хост, користувач тощо).

Прикладом є розвідувальні виклики API, визначені у трьох правилах Sigma, викликані у довільному порядку протягом 5 хвилин з однієї вихідної IP-адреси.

Приклад правила часової близькості

title: Correlation temporal Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal
    rules:
        - CloudTrail Log Settings Modified
        - Console Login Without MFA
        - Role Enumeration
    timespan: 3d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low

Правила часової впорядкованості

Кореляційний тип temporal_ordered поводиться як temporal і додатково вимагає, щоб події з'являлися у порядку, наданому в атрибуті rules.

Прикладом є багато невдалих входів, за якими слідує успішний вхід.

Приклад правила часової впорядкованості

title: Correlation temporal_ordered Test
id: 49d15187-4203-4e11-8acd-8736f25b66xx
status: test
author: TEST
correlation:
    type: temporal_ordered
    rules:
        - Console Login Without MFA
        - Role Enumeration
        - CloudTrail Log Settings Modified
    timespan: 1d
    generate: true
level: high
---
title: CloudTrail Log Settings Modified
author: Zach Mathis (@yamatosecurity)
date: 2025-04-23
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'cloudtrail.amazonaws.com'
        eventName: 'UpdateTrail'
    filter:
        errorCode: 'AccessDenied'
    condition: selection and not filter
level: high
---
title: Console Login Without MFA
author: Zach Mathis (@yamatosecurity)
date: 2025-04-13
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: signin.amazonaws.com
        eventName: 'ConsoleLogin'
        additionalEventData.MFAUsed: 'No'
    condition: selection
level: medium
---
title: Role Enumeration 
author: Zach Mathis (@yamatosecurity)
date: 2025-04-24
logsource:
    product: aws
    service: cloudtrail
detection:
    selection:
        eventSource: 'iam.amazonaws.com'
        eventName: 'ListRoles'
    condition: selection
falsepositives:
level: low