Sigma规则中IntegrityLevel匹配问题的技术解析

背景介绍

在安全监控领域，Sigma作为一种通用的日志检测规则格式，被广泛应用于各种SIEM系统中。然而，在实际使用过程中，安全分析师们经常会遇到规则匹配失败的情况，特别是在涉及Windows系统完整性级别(IntegrityLevel)检测的场景中。

问题本质

近期有用户反馈，在使用Sigma规则检测UAC绕过技术时，发现基于ComputerDefaults.exe的检测规则无法正常触发。经过分析，核心问题在于日志源中记录的完整性级别是以SID(安全标识符)形式呈现的，而Sigma规则中直接使用的是"high"或"system"这样的字符串描述。

技术细节解析

Windows系统的完整性级别实际上是通过SID来表示的，常见的对应关系如下：

• S-1-16-4096：低完整性级别(Low Integrity)
• S-1-16-8192：中完整性级别(Medium Integrity)
• S-1-16-12288：高完整性级别(High Integrity)
• S-1-16-16384：系统完整性级别(System Integrity)

在用户提供的案例中，日志显示IntegrityLevel为"S-1-16-12288"，这实际上对应着高完整性级别，但由于Sigma规则中直接使用了"high"字符串进行匹配，导致无法正确识别。

解决方案

针对这一问题，安全团队提出了两种解决方案：

1. 规则优化方案：在Sigma规则中同时包含字符串描述和SID表示形式，确保无论日志源采用哪种表示方式都能正确匹配。例如，可以将规则中的IntegrityLevel条件扩展为包含"high"和"S-1-16-12288"两种形式。

2. 日志预处理方案：在日志收集阶段，通过SIEM系统或日志收集工具的转换功能，将SID表示的完整性级别转换为易读的字符串描述。这种方法需要在日志管道中添加相应的转换逻辑。

实际应用建议

对于安全运营团队，建议采取以下措施：

1. 审查现有的Sigma规则库，特别是涉及Windows系统完整性检测的规则，确保其同时支持字符串和SID两种表示形式。

2. 在部署新的检测规则前，先验证日志源中相关字段的实际格式，避免因格式不匹配导致的检测盲区。

3. 考虑在SIEM系统中建立SID到字符串的映射表，实现自动转换功能，提高规则的可移植性。

总结

这个案例揭示了安全检测规则与实际日志格式之间可能存在的差异问题。作为安全分析师，不仅需要理解攻击技术的原理，还需要深入了解各种日志源的记录方式，才能构建出真正有效的检测机制。同时，这也体现了Sigma规则需要不断优化以适应不同环境的重要性。