SIEM Derin Konular

Siber güvenliğin en önemli bacaklarından birisi tehdit avcılığıdır. Tehdit avcılığı için kullanacağımız ilk yöntem logda kelime ve cümle araması yapmaktır. Bu konuda en popüler altyapı olan Sigma Rules dan birkaç örnek vermek gerekirse

title: Silence.Downloader V3
id: 170901d1-de11-4de7-bccb-8fa13678d857
status: test
description: Detects Silence downloader. These commands are hardcoded into the binary.
author: Alina Stepchenkova, Roman Rezvukhin, Group-IB, oscd.community
date: 2019/11/01
modified: 2021/11/27
logsource:
  category: process_creation
  product: windows
detection:
  selection_recon:
    Image|endswith:
      - '\tasklist.exe'
      - '\qwinsta.exe'
      - '\ipconfig.exe'
      - '\hostname.exe'
    CommandLine|contains: '>>'
    CommandLine|endswith: 'temps.dat'
  selection_persistence:
    CommandLine|contains: '/C REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "WinNetworkSecurity" /t REG_SZ /d'
  condition: selection_recon | near selection_persistence   # requires both
fields:
  - ComputerName
  - User
  - Image
  - CommandLine
falsepositives:
  - Unknown
level: high
tags:
  - attack.persistence
  - attack.t1547.001
  - attack.discovery
  - attack.t1057
  - attack.t1082
  - attack.t1016
  - attack.t1033
  - attack.g0091

Yukarıda görüleceği üzere belirli log alanları üzerinde contains, endswith operatörleri ile işlem yapılmaktadır.

title: CobaltStrike BOF Injection Pattern
id: 09706624-b7f6-455d-9d02-adee024cee1d
description: Detects a typical pattern of a CobaltStrike BOF which inject into other processes
references:
    - https://github.com/boku7/injectAmsiBypass
    - https://github.com/boku7/spawn
status: experimental
author: Christian Burkard
date: 2021/08/04
logsource:
    category: process_access
    product: windows
detection:
    selection:
        CallTrace|re: '^C:\\\\Windows\\\\SYSTEM32\\\\ntdll\\.dll\+[a-z0-9]{4,6}\|C:\\\\Windows\\\\System32\\\\KERNELBASE\\.dll\+[a-z0-9]{4,6}\|UNKNOWN\([A-Z0-9]{16}\)$'
        GrantedAccess:
          - '0x1028'
          - '0x1fffff'
    condition: selection
falsepositives:
    - Unknown
level: high
tags:
    - attack.execution
    - attack.t1106
    - attack.defense_evasion
    - attack.t1562.001

Yukarıdaki örnekte de bir regex işlemi yapılması gerekmektedir.

Sadece Sigma Rules içerisinde yüzlerce buna benzer regex, contains, endswith, startswith gibi string karşılaştırmalarına gerek duyan kurallar vardır.

Şu anda Sigma kuralları aşağıda gibi araçlarla ilgili SIEM aracının formatına döndürülüp sonra da manuel olarak aramada kullanılmaktadır.

Uncoder.IO | Universal Sigma Rule Converter for SIEM, EDR, and NTDR

Burada her Sigma kuralının kullanılan SIEM sorgusuna döndürülemeyeceğini de belirtelim.

İkinci önemli konu ise yüzlerce kuralın manuel çalıştırılmasının pratikte mümkün olmadığıdır.

Bu noktada bu kuralların otomatik veya başka bir yöntemle SIEM korelasyon kurallarına döndürerek kullanılabileceği akla gelebilir. O noktada da regex işlemlerinin korelasyonda oluşturacağı darboğazlara bakmak gerekecektir. IBM Qradar’dan örnek vermek gerekirse regex kullanımının sistem performansında oluşturabileceği sorunlar aşağıda anlatılmıştır

QRadar: Troubleshooting Custom Rule performance with findExpensiveCustomRules.sh

Bu durum sadece Qradar’a has bir durum değildir. Bütün SIEM çözümlerinde regex kullanımı ciddi bir yük getirir.

Böyle bir durumda şu anda 1922 adet olan ve devamlı artan Sigma kuralından işimize yarayacak yüzlercesini otomatik çalıştıracak başka bir yöntemin gerekliliği aşikârdır.

GitHub - SimoneCagol/sigma-rules-crawler

Bu nokta bu kuralları korelasyon kuralları olarak gerçek zamanlı, in-memory ve otomatik çalıştırabilecek SIEM çözümleri çok fayda sağlayacaktır.