Verbessern des Datenverständnisses
Rocco Gagliardi
Wie man Sigma-Regeln mit Graylog verwendet
Die Sigma-Regeln wurden 2017 eingeführt, und sogenannte “Archive” von Definitionen für eine schnelle Implementierung erstellt. Obwohl Graylog v5 Unterstützung für Sigma-Regeln bietet, ist diese Funktion ausschliesslich in der kostenpflichtigen Version (Graylog Security) verfügbar. Im Folgenden wird die Verwendung von Sigma-Regeln innerhalb der Graylog Open Version beleuchtet.
Sigma wurde 2017 von Florian Roth und Thomas Patzke eingeführt und ist ein offenes, textbasiertes, generisches Signaturformat, welches Analysten zur Beschreibung von Log-Ereignissen verwenden. Mit Sigma-Regeln sollen darüber hinaus das Schreiben von Erkennungsregeln vereinfacht werden. Als generisches Format für Erkennungsregeln schafft Sigma eine gemeinsame Sprache für Defenders und überwindet damit Hindernisse, welche entstehen können, wenn man Regeln in proprietären Log-Analyse-Tools zu schreiben versucht. Mithilfe des Sigma-Formats können Sicherheitsanalysten Regeln freigeben und sie dann in die Sprache des jeweiligen Tools konvertieren.
Sigma standardisiert die Formate von Erkennungsregeln für verschiedene Sicherheitsplattformen und fördert die Zusammenarbeit, indem es den einfachen Austausch von Regeln auf GitHub ermöglicht. Dies fördert den Wissensaustausch zwischen Sicherheitsanalysten verschiedener Ebenen und trägt zu einer verbesserter Cybersicherheit bei. Darüber hinaus können Unternehmen dank der Flexibilität von Sigma ihre Cybersecurity-Technologien effizient anpassen, wodurch eine Anbieterbindung vermieden und die betriebliche Weiterentwicklung gefördert wird.
Mit Graylog Security kann man Sigma-Regeln direkt aus dem GitHub-Repository importieren, diese Funktion ist alleridings in der Graylog Open-Version nicht verfügbar. Der Prozess des Regelimports konfiguriert Filter, Streams und Auslöser für Alarme, die bestimmte Kriterien erfüllen. Alternativ kann diese Konfiguration auch manuell repliziert werden, indem man Suchabfragen in die Graylog Open Version integriert.
Nimmt man zum Beispiel CVE-2023-34362, die eine SQL-Einschleusung ausnutzt, um den Zugriff auf die Datenbank von MOVEit Transfer zu erhalten: Auch für diese Sicherheitslücke gibt es eine entsprechende Sigma-Regel. Wir müssen deshalb eine Methode finden, um die Regel in eine Lucene-Abfrage zu konvertieren, einen Stream zu konfigurieren und bei übereinstimmenden Ereignissen einen Alarm auszulösen.
Das Sigma CLI ist der einfachste Weg, Sigma-Regeln in proprietäre Formate zu konvertieren.
Einmal installiert, erleichtert das CLI die Konvertierung von Sigma-Regeln in die Lucene-Abfragesprache von elasticsearch oder OpenSearch.
Sobald die Abfrage definiert ist, ist es möglich, Graylog Open wie gewohnt zu konfigurieren. Es ist offensichtlich, dass die Logs korrekt geparst werden müssen, um die erforderlichen Felder zu extrahieren.
Eine weitere effektive Möglichkeit ist der Uncoder AI. Dieses Tool übersetzt Sigma-Regeln in verschiedene Abfrageformate, die für verschiedene Plattformen geeignet sind. Durch die Anwendung von KI erhöht der Uncoder AI die Relevanz von Bedrohungsdaten, verbessert die Erkennungstechnik und erweitert die Triage-Informationen. Es ist ratsam, Uncoder AI insbesondere dann zu erforschen, wenn eine grosse Anzahl von Regelentwicklungsaufgaben anstehen. Seine fortschrittlichen Funktionen generieren schnell Regeln aus einer frei formatierten Sammlung von Kompromissindikatoren (IOC).
Abschliessend lässt sich sagen, dass Graylog seine Effektivität in gezielten Szenarien und bei der Bewältigung komplexer Log-Analyseaufgaben unter Beweis gestellt hat. Die Einführung von Sigma-Regeln im Jahre 2017 hat den Bereich der Log-Analyse revolutioniert und bietet einen einheitlichen Rahmen für die Formulierung von Erkennungsregeln, die Förderung der Teamarbeit und die Verbesserung von Cybersicherheitsstrategien. Die Verwendung von Sigma-Regeln in Graylog kann über die erweiterten Funktionen von Graylog erfolgen, oder durch Anpassung der Graylog Open-Version und manuelle Verfeinerung vergleichbare Ergebnisse erzielen.
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!