Es ist schon ein paar Jahre her, dass wir angefangen haben, Graylog zu benutzen und es oft mit anderen Komponenten wie rsyslog, Logstash und Nxlog zu integrieren. Wenn wir die offene Version von Graylog verwenden, sind die Ergebnisse nicht immer ganz zufriedenstellend, aber es erweist sich in bestimmten Anwendungsfällen als äusserst nützlich. Wie bei jedem Log-Analyse-Tool erfordert der Prozess erhebliche technische Anstrengungen, um die aus den Logs extrahierten Informationen zu filtern, zu korrelieren und visuell darzustellen, da jedes System seine eigenen syntaktischen Variationen hat.

Die Sigma-Regeln wurden 2017 eingeführt, und sogenannte “Archive” von Definitionen für eine schnelle Implementierung erstellt. Obwohl Graylog v5 Unterstützung für Sigma-Regeln bietet, ist diese Funktion ausschliesslich in der kostenpflichtigen Version (Graylog Security) verfügbar. Im Folgenden wird die Verwendung von Sigma-Regeln innerhalb der Graylog Open Version beleuchtet.

Sigma-Regeln

Sigma wurde 2017 von Florian Roth und Thomas Patzke eingeführt und ist ein offenes, textbasiertes, generisches Signaturformat, welches Analysten zur Beschreibung von Log-Ereignissen verwenden. Mit Sigma-Regeln sollen darüber hinaus das Schreiben von Erkennungsregeln vereinfacht werden. Als generisches Format für Erkennungsregeln schafft Sigma eine gemeinsame Sprache für Defenders und überwindet damit Hindernisse, welche entstehen können, wenn man Regeln in proprietären Log-Analyse-Tools zu schreiben versucht. Mithilfe des Sigma-Formats können Sicherheitsanalysten Regeln freigeben und sie dann in die Sprache des jeweiligen Tools konvertieren.

Sigma standardisiert die Formate von Erkennungsregeln für verschiedene Sicherheitsplattformen und fördert die Zusammenarbeit, indem es den einfachen Austausch von Regeln auf GitHub ermöglicht. Dies fördert den Wissensaustausch zwischen Sicherheitsanalysten verschiedener Ebenen und trägt zu einer verbesserter Cybersicherheit bei. Darüber hinaus können Unternehmen dank der Flexibilität von Sigma ihre Cybersecurity-Technologien effizient anpassen, wodurch eine Anbieterbindung vermieden und die betriebliche Weiterentwicklung gefördert wird.

Graylog Open Search

Mit Graylog Security kann man Sigma-Regeln direkt aus dem GitHub-Repository importieren, diese Funktion ist alleridings in der Graylog Open-Version nicht verfügbar. Der Prozess des Regelimports konfiguriert Filter, Streams und Auslöser für Alarme, die bestimmte Kriterien erfüllen. Alternativ kann diese Konfiguration auch manuell repliziert werden, indem man Suchabfragen in die Graylog Open Version integriert.

Nimmt man zum Beispiel CVE-2023-34362, die eine SQL-Einschleusung ausnutzt, um den Zugriff auf die Datenbank von MOVEit Transfer zu erhalten: Auch für diese Sicherheitslücke gibt es eine entsprechende Sigma-Regel. Wir müssen deshalb eine Methode finden, um die Regel in eine Lucene-Abfrage zu konvertieren, einen Stream zu konfigurieren und bei übereinstimmenden Ereignissen einen Alarm auszulösen.

Sigma CLI

Das Sigma CLI ist der einfachste Weg, Sigma-Regeln in proprietäre Formate zu konvertieren.

Einmal installiert, erleichtert das CLI die Konvertierung von Sigma-Regeln in die Lucene-Abfragesprache von elasticsearch oder OpenSearch.

Sobald die Abfrage definiert ist, ist es möglich, Graylog Open wie gewohnt zu konfigurieren. Es ist offensichtlich, dass die Logs korrekt geparst werden müssen, um die erforderlichen Felder zu extrahieren.

Sigma-Regeln mit dem Uncoder AI

Eine weitere effektive Möglichkeit ist der Uncoder AI. Dieses Tool übersetzt Sigma-Regeln in verschiedene Abfrageformate, die für verschiedene Plattformen geeignet sind. Durch die Anwendung von KI erhöht der Uncoder AI die Relevanz von Bedrohungsdaten, verbessert die Erkennungstechnik und erweitert die Triage-Informationen. Es ist ratsam, Uncoder AI insbesondere dann zu erforschen, wenn eine grosse Anzahl von Regelentwicklungsaufgaben anstehen. Seine fortschrittlichen Funktionen generieren schnell Regeln aus einer frei formatierten Sammlung von Kompromissindikatoren (IOC).

Zusammenfassung

Abschliessend lässt sich sagen, dass Graylog seine Effektivität in gezielten Szenarien und bei der Bewältigung komplexer Log-Analyseaufgaben unter Beweis gestellt hat. Die Einführung von Sigma-Regeln im Jahre 2017 hat den Bereich der Log-Analyse revolutioniert und bietet einen einheitlichen Rahmen für die Formulierung von Erkennungsregeln, die Förderung der Teamarbeit und die Verbesserung von Cybersicherheitsstrategien. Die Verwendung von Sigma-Regeln in Graylog kann über die erweiterten Funktionen von Graylog erfolgen, oder durch Anpassung der Graylog Open-Version und manuelle Verfeinerung vergleichbare Ergebnisse erzielen.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://github.com/SigmaHQ/sigma-cli
• https://github.com/SigmaHQ/sigma/blob/master/rules-emerging-threats/2023/Exploits/CVE-2023-34362-MOVEit-Transfer-Exploit/file_event_win_exploit_cve_2023_34362_moveit_transfer.yml
• https://github.com/SigmaHQ/sigma/tree/master
• https://go2docs.graylog.org/5-0/what_more_can_graylog_do_for_me/sigma_rules.htm?tocpath=Graylog%20Security%7C_____2
• https://nvd.nist.gov/vuln/detail/CVE-2023-34362
• https://tdm.socprime.com/uncoder-ai