首页
/ SigmaHQ/sigma项目发布新规则集解析

SigmaHQ/sigma项目发布新规则集解析

2025-06-07 15:33:49作者:毕习沙Eudora

项目简介

SigmaHQ/sigma是一个开源的通用签名格式项目,主要用于安全监控和威胁检测。该项目提供了一套标准化的规则格式,可以转换为多种SIEM(安全信息和事件管理)系统的查询语言,如Splunk、Elasticsearch、ArcSight等。Sigma规则旨在帮助安全团队更高效地检测风险行为,覆盖从常见攻击模式到高级持续性威胁(APT)的各种场景。

最新规则集更新分析

新增规则

本次更新引入了多个针对新兴风险的检测规则:

  1. Azure登录绕过条件访问策略检测:针对可能绕过Azure条件访问控制机制的行为进行监控,这类行为可能导致未授权访问云资源。

  2. LDAP安全风险(CVE-2024-49113)利用尝试检测:该风险影响轻量级目录访问协议(LDAP)实现,可能导致信息泄露或权限提升。

  3. 公共文件夹中的可疑二进制文件和脚本检测:监控公共可访问目录中异常可执行文件或脚本的出现,这通常是风险行为的迹象。

  4. 通过Rsync可疑调用Shell检测:Rsync是常见的文件同步工具,可能被滥用其功能来执行异常命令。

  5. 通过注册表修改Windows事件日志访问检测:识别试图通过修改注册表来干扰或禁用Windows事件日志记录的行为。

规则优化与改进

多个现有规则得到了增强和调整:

  • Exploit框架用户代理检测:新增了对Havoc C2框架默认用户代理的识别。

  • PowerShell相关规则:改进了正则表达式模式,使用\s+来适应不同日志解析器的处理方式,减少误报。

  • Rsync执行Shell检测:重构了检测逻辑使其更加通用化,覆盖更多类型的Shell调用场景。

  • Windows服务修改检测:扩展了监控的服务列表,覆盖更多可能被利用的服务。

规则修复与调整

本次更新修复了多个规则中的问题:

  • BITS传输作业检测:添加了对OneNote和Office CDN域名的排除,减少合法业务场景的误报。

  • 代码完整性检查规则:为卡巴斯基和mDNS响应程序添加了过滤条件。

  • 卷影拷贝检测:排除了vcredist等合法安装程序产生的活动。

  • 防病毒签名关键词检测:优化了"HTool"字符串匹配逻辑,避免过度匹配。

  • 权限用户创建检测:修复了语法错误导致的误报问题。

规则移除

移除了"Windows Defender排除项删除"检测规则,可能是由于该规则在实际环境中产生了过多误报或已被更精确的规则替代。

技术价值与应用建议

本次更新反映了当前安全态势的几个关键趋势:

  1. 云安全增强:新增的Azure条件访问绕过检测表明云环境中的权限控制正成为重要关注点。

  2. 风险快速响应:及时加入对LDAP安全风险等新披露问题的检测,体现了Sigma社区的快速响应能力。

  3. 技术演进:针对Rsync滥用和注册表修改等规则的改进,反映了利用合法工具和系统功能进行异常行为的趋势。

对于安全运营团队,建议:

  1. 优先评估和部署针对云环境和关键风险的新规则。

  2. 对更新后的PowerShell和Shell执行检测规则进行测试,确保其与现有日志收集配置兼容。

  3. 关注被移除的规则,评估是否需要通过其他方式覆盖相应风险场景。

Sigma规则集的持续更新为安全团队提供了应对不断变化的风险的有力工具,合理部署和调优这些规则可以显著提升风险检测能力。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
162
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
96
15
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
199
279
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
16
Git4ResearchGit4Research
Git4Research旨在构建一个开放、包容、协作的研究社区,让更多人能够参与到科学研究中,共同推动知识的进步。
HTML
23
1
apintoapinto
基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
950
557
risc-v64-naruto-pirisc-v64-naruto-pi
基于QEMU构建的RISC-V64 SOC,支持Linux,baremetal, RTOS等,适合用来学习Linux,后续还会添加大量的controller,实现无需实体开发板,即可学习Linux和RISC-V架构
C
19
5