码上欢乐
相关内容   简体   繁体

SIGMA规则的威胁检测

本文转载自  查看原文  2021-04-07 17:20  339    其他

git地址:https://github.com/SigmaHQ/sigma/tree/master/tools

1、使用方法:

tools/sigmac -t es-dsl -c config/elk-defaultindex.yml  rules/application/app_sqlinjection_errors.yml

转换结果:

{
  "query": {
    "constant_score": {
      "filter": {
        "bool": {
          "should": [
            {
              "multi_match": {
                "query": "quoted string not properly terminated",
                "fields": [],
                "type": "phrase"
              }
            },
            {
              "multi_match": {
                "query": "You have an error in your SQL syntax",
                "fields": [],
                "type": "phrase"
              }
            },
            {
              "multi_match": {
                "query": "Unclosed quotation mark",
                "fields": [],
                "type": "phrase"
              }
            },
            {
              "multi_match": {
                "query": "near \"*\": syntax error",
                "fields": [],
                "type": "phrase"
              }
            },
            {
              "multi_match": {
                "query": "SELECTs to the left and right of UNION do not have the same number of result columns",
                "fields": [],
                "type": "phrase"
              }
            }
          ]
        }
      }
    }
  }
} 

-t  转换目标,例如 es-dsl ,将规则转换为es-dsl格式的语句;-c 配置文件;最后的yml文件则是规则文件。

可以添加参数-r ,指定需要转换规则文件夹,则会将文件夹内的规则全部转换,产生的结果是一个列表。

2、sigma转换工具

https://uncoder.io/#

3、sigma生成att&ck

sigma规则大部分对应到了ATT&CK,例如 app_python_sql_exceptions.yml 是 t1190。

python3 sigma2attack -d /home/rules/application/, -d指定文件夹

会生成一个heatmap.json 文件,文件内容如下:

{
  "domain": "mitre-enterprise",
  "name": "Sigma rules heatmap",
  "gradient": {
    "colors": [
      "#ffffff",
      "#ff6666"
    ],
    "maxValue": 5,
    "minValue": 0
  },
  "versions": {
    "navigator": "4.0",
    "layer": "4.0"
  },
  "techniques": [
    {
      "techniqueID": "T1190",
      "score": 5,
      "comment": "app_python_sql_exceptions.yml\napp_sqlinjection_errors.yml\nappframework_django_exceptions.yml\nappframework_ruby_on_rails_exceptions.yml\nappframework_spring_exceptions.yml"
    }
  ]
}

 


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 威胁检测及威胁狩猎的工具、资源大合集 异常值检测算法三:3sigma模型 理解未知威胁——是针对签名的防护来说,签名绕过太容易,需要基于行为提供泛化能力更强的检测算法(AI)==>已知的未知威胁+未知的未知威胁 如何编写snort的检测规则 思科安全:加密流量威胁检测、加密流量威胁和恶意软件检测、识别无线干扰或威胁、Talos 情报源可加强对已知和新型威胁的防御、分布式安全异常检测 Firefox 检测到潜在的安全威胁,并因 github.com 要求安全连接 Two Sigma OA 不规则图形碰撞检测 snort入侵检测规则编写与验证 编程数学-∑(求和符号)-Sigma
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM