Hoạt động An ninh là một công việc 24 x 7. Nó không dừng lại vào cuối tuần hoặc ngày lễ hoặc thậm chí là thời gian giải lao cần thiết cho cà phê sau khi giờ đầu tiên của ca làm việc kết thúc. Tất cả chúng ta đều biết điều này.
Mỗi kỹ sư SOC đều hy vọng một lúc nào đó sẽ được nghỉ ngơi. Một trong những câu chuyện cười yêu thích của tôi khi nói về Hoạt động An ninh là “3 kỹ sư SOC bước vào một quán bar …” Đó là câu nói đùa. Không có kỹ sư SOC nào có thời gian để làm điều đó. Họ nhận được nó. Họ cười. Vậy tại sao điều này lại là sự thật?
Hãy cùng chúng tôi khám phá điều đó một chút.
- Nhu cầu về các kỹ sư SOC có kinh nghiệm vượt xa các tài năng sẵn có.
- Mức âm lượng sự kiện làm rung chuyển trí tưởng tượng so với thậm chí chỉ vài năm trước đây.
- Việc sử dụng các công cụ với khả năng tối đa của chúng thường không được ưu tiên.
Trong không gian Hoạt động Bảo mật, chúng tôi đã sử dụng SIEM trong nhiều năm với các mức độ triển khai, tùy chỉnh và hiệu quả khác nhau. Về phần lớn, chúng là một công cụ hữu ích cho Hoạt động Bảo mật. Nhưng chúng có thể tốt hơn. Giống như bất kỳ công cụ nào, chúng cần được mài sắc và sử dụng đúng cách.
Sau một thời gian, ngay cả một công cụ đã được mài sắc cũng có thể trở nên xỉn màu do sử dụng quá nhiều: và với một SIEM có quá nhiều sự kiện tạo ra HÌNH ẢNH BÁO ĐỘNG đáng sợ !!!
Điều này là thực tế đối với các hoạt động bảo mật và phải được giải quyết; bởi vì càng nhiều cảnh báo, thì kỹ sư càng phải làm việc nhiều hơn và họ sẽ bỏ lỡ nhiều hơn.
Chèn Quy tắc Sigma cho SIEMS (dự định chơi chữ); một cách để Hoạt động bảo mật triển khai tiêu chuẩn hóa trong các nhiệm vụ hàng ngày là xây dựng các truy vấn SIEM, quản lý nhật ký và các mối tương quan săn tìm mối đe dọa.
Bạn có thể hỏi Quy tắc Sigma là gì? Quy tắc Sigma là một định dạng chữ ký chung và mở, dựa trên YAML cho phép nhóm hoạt động bảo mật mô tả các sự kiện nhật ký có liên quan ở định dạng linh hoạt và chuẩn hóa.
Vậy, điều đó có ý nghĩa gì đối với các hoạt động bảo mật? Giờ đây, việc chuẩn hóa và cộng tác trở nên khả thi hơn bao giờ hết với việc áp dụng Quy tắc Sigma trong cộng đồng Hoạt động bảo mật. Quy tắc Sigma là một dự án cộng đồng nguồn mở đã được bắt đầu cách đây vài năm như một cách để tạo ra một ngôn ngữ chung được sử dụng trong các hoạt động bảo mật cho các truy vấn SIEM và EDR. Điều này cho phép các nhóm hoạt động bảo mật tạo các truy vấn ở định dạng quy tắc Sigma thay vì ngôn ngữ SIEM của nhà cung cấp cụ thể.
Tôi biết bạn có thể đang nghĩ gì; “thật tuyệt vời khi cộng đồng đang đến với nhau để giúp đỡ lẫn nhau trong các cuộc chiến an ninh mạng hàng ngày của họ.” Nhưng, tôi sử dụng một SIEM khác với bất kỳ ai đã viết quy tắc sigma này hoặc quy tắc sigma đó. Đó là vẻ đẹp của việc tiêu chuẩn hóa Quy tắc Sigma. Chúng dành cho tất cả mọi người. Lấy ví dụ dưới đây về một truy vấn trong một công cụ SIEM phổ biến đang tìm kiếm “Xóa lịch sử lệnh” – một chiến thuật trốn tránh được sử dụng trong Linux.
Điều đó dành riêng cho ngôn ngữ của công cụ SIEM đó.
Bây giờ hãy xem xét ngôn ngữ SIEM thứ hai cho cùng một truy vấn.
Như bạn có thể thấy, hai tìm kiếm rất khác nhau trên hai hệ thống SIEM khác nhau sẽ trả về cùng một kết quả, xuất phát từ cùng một quy tắc sigma. Vì vậy, nếu bạn giống tôi và đang đặt ra câu hỏi trong đầu, “Tôi có phải học ngôn ngữ của một công cụ mới để có thể tận dụng các Quy tắc Sigma không?” – câu trả lời là không. Các truy vấn này đến từ cùng một quy tắc sigma. Tôi đã lấy quy tắc sigma này và sử dụng công cụ chuyển đổi quy tắc sigma chẳng hạn như công cụ tại https://uncoder.io và chỉ thực hiện một bản dịch đơn giản.
Hiện tại, có 25 bản dịch khác nhau có thể được thực hiện, bao gồm Grep và PowerShell, hai phương pháp tìm kiếm gốc trên Linux và Windows. Các chi tiết cụ thể của quy tắc sigma cũng đơn giản.
Mỗi quy tắc phải bao gồm tiêu đề, nguồn nhật ký, phát hiện và điều kiện, và trong mỗi trường được yêu cầu trước đó, có thể tạo nhiều trường tùy chọn khác nhau. Sự hợp tác mở rộng hơn nữa với các quy tắc Sigma: nguồn cấp dữ liệu thông minh về mối đe dọa, Mô phỏng vi phạm và tấn công (BAS) và các công nghệ xác thực bảo mật khác giúp bạn dễ dàng cải thiện các Hoạt động bảo mật để xử lý các cảnh báo bảo mật không bao giờ kết thúc tốt hơn.
Ngày nay, mọi nhóm Hoạt động bảo mật đều thu thập dữ liệu nhật ký và tạo các truy vấn tùy chỉnh để phân tích hàng ngày của họ. Tất cả chúng ta đều biết mình đang thiếu nhân lực và làm việc quá sức. Chỉ vì hai lý do đó, với tư cách là một cộng đồng lớn hơn có nhiệm vụ bảo vệ chống lại các cuộc tấn công mạng, cộng đồng nói chung phải áp dụng Quy tắc Sigma. Bắt đầu cuộc cách mạng sigma và là một phần của sự ra đời của tiêu chuẩn. Sigma được sinh ra để trở thành một tiêu chuẩn mở cho mọi người sử dụng bất kể SIEM và bất kể truy vấn nào.
Cho đến nay, hoạt động SIEM thực sự là một hòn đảo đối với chính nó. Điều này không còn đúng nữa. Các tiêu chuẩn Hoạt động bảo mật dựa trên cộng đồng luôn tồn tại, đó là lý do tại sao tôi yêu thích các quy tắc sigma.
Để biết thêm thông tin, hãy truy cập www.cymulate.com và đăng ký một Dùng thử miễn phí.
