Beautiful SIGMA (Part II of II)
What: #sigma
Where: #vscode
Who: Qwerty Bubble
When: 01/06/2024
How: Python
Итак, SIGMA.
В прошлом посте вспомнили, что это такое и как писать так, чтобы было быстро и красиво. В этом посте тоже начнём с полезных материалов по теме:
1) Вступление от ребят, которые делали крутую песочницу, а теперь предлагают полностью автоматизировать Tier 1 SOC;
2) Описание по источникам событий от Nextrone Systems;
3) Подробный разбор темы от коллег из PT Часть 1, Часть 2, Часть 3;
4) Статья от VT по преобразованию SIGMA-логики в YARA-правила;
5) Также приложу архив c курсом по написанию SIGMA правил (пароль sigma).
Вооружившись всеми знаниями и написав целый ворох различных правил, давайте теперь отшлифуем весь массив того, что получилось
Написанный скрипт решает две основные задачи:
➖ проверяет синтаксис на соответствие схемы языка YAML (за основу был взят код из этого репозитория);
➖ валидирует наличие и содержимое необходимых атрибутов в правиле;
Красивых вам правил!
Всем хороших выходных и берегите себя