Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:pisanje_sigma_pravila [2025/01/16 13:35]
Karamatić Roko
+++ racfor_wiki:seminari2024:pisanje_sigma_pravila [2025/01/26 23:00] (trenutno)
Karamatić Roko
@@ Redak 1: / Redak 1: @@
 ===== Pisanje SIGMA pravila =====
+Poveznica na video prezentaciju: https://ferhr-my.sharepoint.com/:v:/g/personal/rk52980_fer_hr/EcBeVFc85PFAkYXBZTc4xCkBdRpkgb-S_E1cvmQ_gdG3Kg
 ===== Sažetak =====
+SIGMA pravila su pravila za detekcije prijetnji u kibernetičkoj sigurnosti napisana u čitljivom YAML format koji omogućuje fleksibilnost i prilagodbu specifičnim platformama. Njihova integracija u SIEM sustave omogućuje praćenje logova u stvarnom vremenu, brzo prepoznavanje sumnjivih aktivnosti i smanjenje rizika od sigurnosnih incidenata.
 ===== Uvod =====
@@ Redak 82: / Redak 78: @@
 ===== SIGMA pravila u Splunk platformi =====
+Splunk je softverska platforma za pretraživanje, analizu i vizualizaciju strojno generiranih podataka prikupljenih s web stranica, aplikacija, senzora, uređaja itd. koji čine IT infrastrukturu. Najčešće se koristi u području kibernetičke sigurnosti, IT nadzora i poslovne analitike za obradu velikih količina podataka (logova).
+Search Processing Language (SPL) je za jezik pretraživanja Splunka, koji omogućuje korisnicima da filtriraju, analiziraju i izvode statistiku iz podataka.
+Na primjeru sljedećeg SIGMA pravila objasnit ćemo kako se ono prevodi te kako izgleda u SPL-u:
+  title: Suspicious PowerShell Usage
+  description: Detects PowerShell commands often used in attacks
+  logsource:
+    product: windows
+    service: sysmon
+  detection:
+    selection:
+      EventID: 1
+      CommandLine|contains:
+        - "Invoke-WebRequest"
+        - "IEX"
+        - "Set-MpPreference"
+    condition: selection
+  level: high
+Koristimo alat sigmac i python s idućom naredbom:
+  python sigmac -t spl -c splunk-windows sigma_file.yml
+-t spl: Specificira da je cilj Splunk.
+-c splunk-windows: Koristi predložak za Splunk s Windows zapisima.
+sigma_file.yml: Datoteka SIGMA pravila koje želimo prevesti.
+Nakon pokretanja alata generirani SPL izgleda ovako:
+  index="windows" EventID=1 CommandLine="*Invoke-WebRequest*" OR CommandLine="*IEX*" OR CommandLine="*Set-MpPreference*"
+Ako zalijepimo generirani SPL upit u pretraživač, Splunk će prikazati sve logove koji odgovaraju definiranim uvjetima SIGMA pravila.
+Ukratko, ovo pravilo prepoznaje sumnjive Powershell naredbe koje se koriste za preuzimanje i izvođenje zlonamjernih skripti te izmjenu sigurnosnih postavki sustava.
 ===== Zaključak =====
+SIGMA pravila su vrlo bitan alat u modernoj kibernetičkoj sigurnosti. Njihova jednostavnost, razumljivost i fleksibilnost omogućuju brzu detekciju prijetnji i prilagodbu pravilima specifičnih platformi poput Splunka, Elasticsearcha i Microsoft Sentinela. Standardizirana forma koju SIGMA uvodi olakšava razvoj te razmjenu znanja i pravila među sigurnosnim timovima.
+Integracija SIGMA pravila u SIEM sustave omogućuje organizacijama da prate logove u stvarnom vremenu i otkriju potencijalne napade, često i prije nego što se šteta dogodi. Primjeri poput detekcije sumnjivih PowerShell aktivnosti ili webshell napada pokazuju koliko SIGMA pravila mogu biti praktična i učinkovita u stvarnim scenarijima.
 ===== Literatura =====
-[1] [[https://hr.wikipedia.org/wiki/]]
+[1] [[http://racfor.zesoi.fer.hr/doku.php?id=racfor_wiki:seminari2023:splunk_siem_sustav]]
+[2] [[https://www.microsoft.com/hr-hr/security/business/security-101/what-is-siem]]
+[3] [[https://medium.com/@cloud_tips/sigma-rules-examples-568fd5d02d9a]]
+[4] [[https://sigmahq.io/docs/basics/rules.html]]

racfor_wiki/seminari2024/pisanje_sigma_pravila.1737034543.txt.gz · Zadnja izmjena: 2025/01/16 13:35 od Karamatić Roko