این تعهد متعلق به هیچ شعبه ای در این مخزن نیست و ممکن است متعلق به یک چنگال در خارج از مخزن باشد.

نام در حال استفاده

یک برچسب در حال حاضر با نام شاخه ارائه شده وجود دارد. بسیاری از دستورات GIT نام برچسب و شاخه را می پذیرند ، بنابراین ایجاد این شاخه ممکن است باعث رفتار غیر منتظره شود. آیا مطمئن هستید که می خواهید این شاخه را ایجاد کنید؟

• محلی
• مکاشه

با استفاده از URL وب از Git یا Checkout با SVN استفاده کنید.

با CLI رسمی ما سریع کار کنید. بیشتر بدانید.

ورود به سیستم لازم

لطفاً برای استفاده از برنامه های کد وارد سیستم شوید.

راه اندازی دسک تاپ GitHub

اگر هیچ اتفاقی نمی افتد ، GitHub Desktop را بارگیری کنید و دوباره امتحان کنید.

راه اندازی دسک تاپ GitHub

اگر هیچ اتفاقی نمی افتد ، GitHub Desktop را بارگیری کنید و دوباره امتحان کنید.

راه اندازی Xcode

اگر هیچ اتفاقی نمی افتد ، Xcode را بارگیری کنید و دوباره امتحان کنید.

راه اندازی کد ویژوال استودیو

فضای کد شما یک بار آماده خواهد شد.

مشکلی برای تهیه فضای کدگذاری شما وجود داشت ، لطفاً دوباره امتحان کنید.

آخرین تعهد

آمار git

فایل ها

بارگیری آخرین اطلاعات متعهد انجام نشد.

readme. md

قالب امضای عمومی برای سیستم های SIEM

Sigma یک قالب امضاء عمومی و باز است که به شما امکان می دهد رویدادهای مربوط به ورود به سیستم را به روشی ساده توصیف کنید. قالب قانون بسیار انعطاف پذیر ، نوشتن آسان و قابل استفاده در هر نوع پرونده ورود به سیستم است. هدف اصلی این پروژه ارائه یک فرم ساختاری است که در آن محققان یا تحلیلگران می توانند روشهای شناسایی یک بار توسعه یافته خود را توصیف کنند و آنها را با دیگران به اشتراک بگذارند.

Sigma برای پرونده های ورود به سیستم است که Snort برای ترافیک شبکه است و Yara برای پرونده ها است.

این مخزن شامل:

1. مشخصات قانون سیگما در مخزن مشخصات سیگما
2. مخزن باز برای امضاهای سیگما در زیر پوشه ./rules
3. مبدل به نام SIGMAC واقع در پوشه ./tools/ زیر مجموعه ای که نمایش داده های جستجو برای سیستم های مختلف SIEM از قوانین سیگما ایجاد می کند

صحبت HACK. LU 2017

Sans Webcast در Miter Att & CK® و Sigma

SANS Webcast در Sigma شامل 20 دقیقه معرفی بسیار خوبی برای این پروژه توسط جان هوبرت از دقیقه 39 به بعد است.(حساب SANS مورد نیاز ؛ ثبت نام رایگان است)

• روش تشخیص خود را در سیگما توصیف کنید تا آن را به اشتراک بگذارید
• جستجوهای SIEM خود را در سیگما بنویسید تا از قفل فروشنده جلوگیری کنید
• امضا را در پیوست تحلیل خود به همراه قوانین IOCS و YARA به اشتراک بگذارید
• امضای را در جوامع Intel تهدید به اشتراک بگذارید - به عنوان مثالاز طریق MISP
• امضاهای سیگما را برای رفتار مخرب در برنامه خود ارائه دهید

امروز ، همه داده های ورود به سیستم را برای تجزیه و تحلیل جمع می کنند. مردم شروع به کار بر روی خود می کنند ، پردازش مقالات متعدد سفید ، پست های وبلاگ و دستورالعمل های تجزیه و تحلیل ورود به سیستم ، استخراج اطلاعات لازم و ساخت جستجو و داشبورد خود را انجام می دهند. برخی از جستجوها و همبستگی های آنها بسیار عالی و بسیار مفید است اما فاقد یک قالب استاندارد است که در آن می توانند کار خود را با دیگران به اشتراک بگذارند.

برخی دیگر تجزیه و تحلیل های عالی را ارائه می دهند ، شامل قوانین IOC و YARA برای تشخیص پرونده های مخرب و اتصالات شبکه ، اما راهی برای توصیف یک روش تشخیص خاص یا عمومی در رویدادهای ورود به سیستم ندارند. منظور از سیگما یک استاندارد باز است که در آن می توان چنین مکانیسم های تشخیص را به منظور بهبود قابلیت های تشخیص برای همه تعریف ، به اشتراک گذاشته و جمع آوری کرد.

اولین عرشه اسلاید را که برای یک کنفرانس خصوصی در اواسط ژانویه سال 2017 آماده کردم ، ببینید.

مشخصات را می توان در مخزن مشخصات سیگما یافت.

مشخصات فعلی یک پیشنهاد است. بازخورد درخواست می شود

فلورین یک آموزش ایجاد قانون کوتاه نوشت که می تواند به شما در شروع کار کمک کند. برای راهنمایی روشنی در مورد چگونگی جمع آوری زمینه های مختلف در قوانین سیگما ، از راهنمای ایجاد قانون در ویکی ما استفاده کنید.

1. مخزن را بارگیری یا کلون کنید
2. برای یک مرور کلی در مورد قانون ، فهرست فرعی ./rules را بررسی کنید
3. Python Sigma c-Help را در پوشه اجرا کنید ./tools برای کمک به مبدل قانون
4. یک قانون انتخاب خود را با SIGMAC مانند ./sigma c-t splun k-c پیکربندی/عمومی/sysmon. yml ../rules/windows/process_creation/proc_creation_win_susp_whoami. yml تبدیل کنید.
5. تبدیل یک دایرکتوری کامل با Python Sigma c-t Splun k-r ../rules/proxy/
6. در صورت نیاز به زمینه سفارشی یا نقشه های منبع ورود به سیستم در محیط خود ، پوشه ./tools/config و مخزن مشخصات سیگما را بررسی کنید

مشکلات / عیب یابی / کمک

در صورت نیاز به کمک یک پس زمینه پشتیبانی خاص ، می توانید به عنوان مثال استفاده کنید. SIGMAC-BACKEND-HELP ELASTALERT-DSL. جزئیات بیشتر در مورد استفاده از SIGMAC را می توان در readme. md اختصاصی یافت.

حتماً راهنمایی های مربوط به تنظیمات خاص پس زمینه را برای SIGMAC بررسی کنید.

ویندوز 'امنیت' EventLog: دسترسی به فرآیند LSASS با ماسک دسترسی خاص / نوع شی (آزمایشی)

Sysmon: ایجاد موضوع از راه دور در فرآیند LSASS

گزارش های دسترسی به سرور وب: تشخیص پوسته وب

Sysmon: تشخیص پوسته وب

ویندوز 'امنیت' EventLog: تعداد مشکوک سیاهههای ناکام از یک ایستگاه کاری منبع واحد

SIGMAC قوانین سیگما را به نمایش داده شد یا ورودی های اهداف پشتیبانی شده ذکر شده در زیر تبدیل می کند. این امر به عنوان جبهه ای برای کتابخانه سیگما عمل می کند که ممکن است برای ادغام پشتیبانی سیگما در سایر پروژه ها استفاده شود. علاوه بر این ، merge_sigma. py وجود دارد که چندین اسناد YAML از یک مجموعه قانون سیگما را به قوانین ساده سیگما ادغام می کند.

هشدار: دیگر پشتیبان تبدیل این ابزار را ارائه ندهید. ما به زودی تاریخ برای استهلاک آن تعیین خواهیم کرد. از اکتبر سال 2020 ، ما در حال کار بر روی یک ماژول بسیار انعطاف پذیر و پایدار به نام Pysigma و یک رابط خط فرمان به نام Sigma-Cli هستیم که از Pysigma استفاده می کند.