Sigma规则让你过上最好的生活

安全操作是一项全天候工作。在周末或假日，甚至在第一个小时的轮班结束后急需的咖啡休息时间，它都不会停止。我们都知道这一点。

每个SOC工程师都希望在某个时刻休息一下。谈到安全操作时，我最喜欢的一个笑话是“3名SOC工程师走进一家酒吧…这就是笑话。没有SOC工程师有时间这么做。他们明白了。他们笑了。为什么这一切都是真的？

让我们来探讨一下。

• 对经验丰富的SOC工程师的需求远远超过现有人才。
• 即使与几年前相比，活动的规模也让人难以想象。
• 最大限度地利用工具往往不是优先事项。

在安全运营领域，我们多年来一直在使用SIEM，其部署、定制和有效性各不相同。在很大程度上，它们是安全行动的有用工具。但他们可以做得更好。像任何工具一样，它们也需要磨快并正确使用。

过了一段时间，即使是一个锋利的工具也会因为使用太多而变得迟钝：而且SIEM会以太多事件的形式产生可怕的警觉疲劳！！！

这对于安全行动来说是真实的，必须加以解决；因为警报越多，工程师需要处理的工作就越多，错过的也就越多。

插入SIEMS的西格玛规则（双关语）；这是一种安全操作将标准化实施到日常任务中的方法，包括构建SIEM查询、管理日志和威胁搜索关联。

你可能会问，什么是西格玛规则？Sigma规则是一种通用的、开放的、基于YAML的签名格式，使安全运营团队能够以灵活、标准化的格式描述相关日志事件。

那么，这对安全行动意味着什么？标准化和协作现在比以往任何时候都更有可能在整个安全运营社区采用西格玛规则。Sigma Rules是一个开源社区项目，它在几年前启动，目的是创建一种通用语言，用于安全操作中的SIEM和EDR查询。这使安全运营团队能够以Sigma规则格式而不是特定于供应商的SIEM语言创建查询。

我知道你可能在想什么；“社区在日常网络安全斗争中团结起来互相帮助，这真是太棒了。”但是，我使用的SIEM不同于编写这个西格玛规则或那个西格玛规则的人。这就是标准化西格玛规则的美妙之处。它们是为每个人准备的。下面这个例子是一个流行的SIEM工具中的一个查询，该工具正在搜索“清除命令历史记录”——Linux中使用的一种规避策略。

这是特定于SIEM工具语言的。

现在看一看SIEM的第二种语言，用于同样的查询。

正如您所见，在两个不同的SIEM系统上进行两次非常不同的搜索，将返回完全相同的输出，来自相同的sigma规则。所以，如果你像我一样，在脑海中问这个问题，“我必须学习一种新工具的语言才能利用西格玛规则吗？”-答案是否定的。这些查询来自完全相同的西格玛规则。我采用了这个西格玛规则，并使用了一个西格玛规则转换器，比如athttps://uncoder.io只是做了一个简单的翻译。

到目前为止，可以进行25种不同的翻译，包括Grep和PowerShell，这是Linux和Windows上的两种本机搜索方法。西格玛规则的细节也很简单。

每个规则必须包括标题、日志源、检测和条件，并且在每个之前需要的字段中，可以创建各种可选字段。Sigma规则进一步扩展了协作：威胁情报源、漏洞和攻击模拟（BAS）以及其他安全验证技术使您更容易强化安全操作，更好地处理永无止境的安全警报。

如今，每个安全运营团队都会收集日志数据，并为日常分析创建自定义查询。我们都知道我们人手不足，工作过度。仅出于这两个原因，作为一个负责防御网络攻击的更大社区，整个社区必须采用Sigma规则。开始西格玛革命，成为标准诞生的一部分。西格玛天生就是一个开放的标准，每个人都可以使用，无论是SIEM还是查询。

到目前为止，SIEM的行动实际上是一座孤岛。这不再是事实。基于社区的安全操作标准将继续存在，这就是为什么我喜欢西格玛规则。