Sigma项目规则优化：解决文件枚举检测中的误报问题

背景分析

在安全检测领域，文件枚举行为是系统探测的常见手段。Sigma项目中的规则7c9340a9-e2ee-4e43-94c5-c54ebbea1006旨在检测通过dir命令进行的文件枚举活动，但在实际应用中出现大量误报，影响了安全运营效率。

误报根源剖析

通过对误报案例的深入分析，我们发现主要存在三类典型场景：

1. 浏览器进程误报
   如Firefox和Edge浏览器在正常运行时触发了规则，这是因为规则未限定检测进程范围，导致任何包含"dir"字符串的命令行都被标记。

2. 系统维护命令干扰
   系统维护工具如cmd.exe执行删除目录等操作时，由于参数中包含"/s"等相似模式而被误判。

3. 特殊字符变体
   可能使用不同路径分隔符或参数变形（如系统目录）来绕过检测，但当前规则无法有效区分异常与正常使用。

技术优化方案

进程限定策略

核心改进点是增加进程限定条件：

Image|endswith: \cmd.exe

这将把检测范围限定在cmd.exe进程，大幅减少浏览器等无关进程的干扰。

命令模式精确化

建议调整检测模式为：

CommandLine|contains: 'dir*/s'

取代原有的宽松匹配，这种写法能更精确地捕捉真正的目录枚举行为，同时避免对删除目录等命令的误判。

异常参数排除

需要建立排除列表处理特殊场景：

• 过滤包含"删除目录"的命令
• 识别但排除"系统目录"等系统路径变体
• 处理不同路径分隔符情况

技术原理深化

值得注意的是，在Windows环境中：

1. 直接在前台命令行执行dir不会产生新进程事件
2. 只有通过cmd /c "dir"这类显式调用才会生成4688/Sysmon事件
3. PowerShell的目录列举行为需要单独设计检测规则

这种特性使得难以完全隐蔽地进行文件枚举，也为精准检测提供了技术基础。

实施建议

对于安全团队而言，建议采取分阶段部署策略：

1. 首先部署基础进程限定规则
2. 逐步添加异常排除逻辑
3. 最后引入高级模式匹配 同时需要持续监控企业环境中合法的目录操作命令，不断完善排除列表。