Las reglas Sigma son un formato de firma abierto y genérico diseñado por Florian Roth, que permite describir eventos de registros importantes directamente, con el objetivo de la mejora de la ciberseguridad. El formato que posee esta regla tiene una gran flexibilidad, posee una fácil escritura y se puede aplicar a cualquier tipo de archivo de registro.
El objetivo del proyecto de reglas Sigma es que los propios investigadores o analistas puedan describir y desarrollar sus métodos de detección, para que posteriormente puedan ser compartidos entre ellos con el fin de la mejora en ciberseguridad.
Las reglas Sigma se aplican a los archivos de registros o logs, las reglas YARA para archivos y las reglas Snort para tráfico de red. Estas reglas pueden ser empleadas en los sistemas SIEM, es decir en un sistema de Gestión de Eventos e Información de Seguridad.
Este conjunto de reglas es muy necesario, ya que gracias a ellas podremos definir, compartir y recopilar diferentes mecanismos de detección con el objetivo de mejorar la detección de actividades maliciosas y potenciar la ciberseguridad de la organización.
Situaciones de uso para reglas Sigma
- Describir el método de detección en Sigma para su exportación.
- Escribir búsquedas SIEM en Sigma para evitar un bloque de un proveedor.
- Compartir la firma en el apéndice del análisis junto a las reglas YARA y los COI.
- Compartir la firma en comunidades de inteligencia de amenazas, para aumentar la visibilidad de proyecto y expandir la ciberseguridad.
- Proporcionar firmas Sigma por comportamientos maliciosos en las propias aplicaciones.
Herramientas y aplicaciones Sigma
A continuación, se mostrará una serie de herramientas que emplean las reglas Sigmas para los archivos de registro.
- Sigmac
Esta herramienta convierte las reglas Sigma en entradas o consultas de los objetivos admitidos. Hace su función como una interfaz para la el repositorio Sigma que se puede integrar en otros proyectos.
- Sigma2MISP
Este nos permite importar las reglas Sigma a eventos MISP, se trata de una herramienta desarrollada por el equipo de Defensa de Bélgica y la OTAN.
MISP se emplea como una plataforma en la que podremos compartir, almacenar y correlacionar Indicadores de Compromiso (IOCs) de ataques dirigidos, para que de esta forma las organizaciones puedan compartir información sobre los diferentes indicadores y malware.
- Evt2Sigma
Esta herramienta te ayuda a crear reglas Sigma, creando una regla Sigma a partir de una entrada de registro.
- Sigma2attack
Gracias a esta herramienta se puede generar un Heatmap MITER ATT & CK a partir del directorio que contenga la regla Sigma.
Partes de una regla Sigma
Estas reglas están formadas por diferentes partes, dentro de ellas hay algunas partes que cobran más importancia que otras.
A continuación, se mostrarán las principales partes de una regla Sigma:
- Atributos que describen la regla Sigma, también conocido como “Metainformación”.
- Atributos que describen las fuentes de datos.
- Atributos que describen las diferentes condiciones para la activación de la regla Sigma.
Estas serían las principales partes que poseerían las reglas Sigma, pero hay otro elemento que cobra una gran relevancia dentro de estas. Estas están escritas en lenguaje de marcado YAML, el cual permite la colocación de múltiples documentos en un mismo archivo. Esta funcionalidad nos permite la creación de colecciones de reglas, por lo tanto, las colecciones de reglas tienen las siguientes fases:
- Atributos generales para los elementos de la propia colección.
- La parte que describe la detección.
Consejos para creación de reglas Sigma
Para proceder a la creación de una regla Sigma podemos tener dos posibles escenarios antes de desarrollar una regla Sigma:
- El origen de eventos correctos ya ha sido actualizado.
En ese caso podríamos basarnos en las reglas existentes. Quizás la fuente de registro que se requiere ya se emplea en otras reglas, por lo que esta debe procesarse correctamente de inmediato.
- No disponemos de reglas en el repositorio que usen el origen de eventos.
Igualmente deberemos apoyarnos en las reglas ya creadas y comprender como usar correctamente los identificadores. Al crear el propio origen de registro, se recomienda añadirlo a todas las asignaciones de backends disponibles.
Proyectos que emplean reglas Sigma
En este apartado se nombrarán los diferentes proyectos que hacen uso de reglas Sigma para la detección de acciones maliciosas.
Algunos de los proyectos son:
- SOC Prime
Se trata de una plataforma de ciberseguridad que tiene como objetivo reducir el riesgo cibernético asociado al negocio u otro sector. Dentro de ella se desarrollan diferentes productos que permiten conseguir el objetivo de la misma.
- MISP
MISP es un proyecto de código abierto compuesto por gente con motivación que piensa que la seguridad de la información compartida se puede mejorar creando diferentes herramientas de código abierto.
- Undercoder.io
Se trata de un traductor en línea para las diferentes búsquedas SIEM, este ha sido creado por SOC Prime.
Conclusión de las reglas Sigma
Lo más relevante será hacer uso de estas e implementarlas lo antes posible para brindar una mayor seguridad a nuestra organización.
Muchas personas recogen datos de registro para el análisis y estas comienzan a trabajar de forma independiente. Su trabajo en muchas ocasiones es genial y muy útil, pero no puede ser compartido con otros individuos.
Al igual que otros ofrecen análisis de muy buena calidad, en donde se incluyen IOCs y reglas YARA, con el fin de detectar acciones maliciosas en archivos y conexiones de red.
Por lo que el proyecto Sigma nace para ser un proyecto abierto en el que los mecanismos de detección se puedan definir, compartir y recoger para proporcionar una mejora en la ciberseguridad de todos.
Desde Hubler trabajamos para brindarte la máxima seguridad y para proporcionarte la máxima tranquilidad posible en tu organización. Por eso recalcamos la importancia que tiene estar actualizado en el ámbito de la ciberseguridad ¿Te gustaría seguir al día con nosotros?