SigmaHQ/sigma项目发布新规则集解析

项目简介

SigmaHQ/sigma是一个开源的通用签名格式项目，主要用于安全监控和威胁检测。该项目提供了一套标准化的规则格式，可以转换为多种SIEM(安全信息和事件管理)系统的查询语言，如Splunk、Elasticsearch、ArcSight等。Sigma规则旨在帮助安全团队更高效地检测风险行为，覆盖从常见攻击模式到高级持续性威胁(APT)的各种场景。

最新规则集更新分析

新增规则

本次更新引入了多个针对新兴风险的检测规则：

1. Azure登录绕过条件访问策略检测：针对可能绕过Azure条件访问控制机制的行为进行监控，这类行为可能导致未授权访问云资源。

2. LDAP安全风险(CVE-2024-49113)利用尝试检测：该风险影响轻量级目录访问协议(LDAP)实现，可能导致信息泄露或权限提升。

3. 公共文件夹中的可疑二进制文件和脚本检测：监控公共可访问目录中异常可执行文件或脚本的出现，这通常是风险行为的迹象。

4. 通过Rsync可疑调用Shell检测：Rsync是常见的文件同步工具，可能被滥用其功能来执行异常命令。

5. 通过注册表修改Windows事件日志访问检测：识别试图通过修改注册表来干扰或禁用Windows事件日志记录的行为。

规则优化与改进

多个现有规则得到了增强和调整：

• Exploit框架用户代理检测：新增了对Havoc C2框架默认用户代理的识别。

• PowerShell相关规则：改进了正则表达式模式，使用\s+来适应不同日志解析器的处理方式，减少误报。

• Rsync执行Shell检测：重构了检测逻辑使其更加通用化，覆盖更多类型的Shell调用场景。

• Windows服务修改检测：扩展了监控的服务列表，覆盖更多可能被利用的服务。

规则修复与调整

本次更新修复了多个规则中的问题：

• BITS传输作业检测：添加了对OneNote和Office CDN域名的排除，减少合法业务场景的误报。

• 代码完整性检查规则：为卡巴斯基和mDNS响应程序添加了过滤条件。

• 卷影拷贝检测：排除了vcredist等合法安装程序产生的活动。

• 防病毒签名关键词检测：优化了"HTool"字符串匹配逻辑，避免过度匹配。

• 权限用户创建检测：修复了语法错误导致的误报问题。

规则移除

移除了"Windows Defender排除项删除"检测规则，可能是由于该规则在实际环境中产生了过多误报或已被更精确的规则替代。

技术价值与应用建议

本次更新反映了当前安全态势的几个关键趋势：

1. 云安全增强：新增的Azure条件访问绕过检测表明云环境中的权限控制正成为重要关注点。

2. 风险快速响应：及时加入对LDAP安全风险等新披露问题的检测，体现了Sigma社区的快速响应能力。

3. 技术演进：针对Rsync滥用和注册表修改等规则的改进，反映了利用合法工具和系统功能进行异常行为的趋势。

对于安全运营团队，建议：

1. 优先评估和部署针对云环境和关键风险的新规则。

2. 对更新后的PowerShell和Shell执行检测规则进行测试，确保其与现有日志收集配置兼容。

3. 关注被移除的规则，评估是否需要通过其他方式覆盖相应风险场景。

Sigma规则集的持续更新为安全团队提供了应对不断变化的风险的有力工具，合理部署和调优这些规则可以显著提升风险检测能力。