0x00故事是这样的

1、ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是由美国MITRE公司提出的一个站在攻击者视角来描述攻击中各阶段用到的技术的模型。它将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式 (STIX)、指标信息的可信自动化交换 (TAXII)来表示。

2、最近我在研究怎么写关于ATT&CK的规则,所以有了以下的文章。

3、Sigma规则下载地址:

https://github.com/SigmaHQ/sigma/

直链下载地址:

https://lp.lmboke.com/sigma-master.zip

4、选择的理由:

1、规则经常更新2、内容包括需要检测的日志源+ATT&CK标签3、适合SOC和SIEM,这些日志管理平台

5、操作流程如下:

(1)、确定规则名称:文件重命名Windows勒索软件监测

(2)、需要的日志源:windows的文件重命名日志


(3)、数据采集:

由于微软的sysmom不支持文件重命名监控,可以自己写脚本放在后台监控

(备注:能用sysmom就用sysmom,如果用不了就写脚本监控,实际测试占不了多少机器性能的,sysmom+脚本组合)

(4)、日志发送:

使用nxlog通过514端口发送到SOC平台

(5)、解析日志样本

(6)、编写告警规则

根据该ATT&CK的规则描述,在原文件后缀增加未知后缀,排除常见后缀,是一个可疑行为

例如原文件doc变成doc.lock,但是不包含doc.tmp这些

(7)、尝试触发告警

6、最后的总结:

ATT&CK的规则与常规告警特征存在本质上的区别。常规告警特征通常明确且直接,但在许多情况下,ATT&CK的规则可能只是正常行为的一部分。威胁狩猎的目标在于发现行为之间的关联,从而揭示异常行为。例如,用户登录SSH终端是正常行为,但如果在相同的时间段内,用户同时登录多个SSH终端,那么这就可能是异常行为。因此,ATT&CK需要进行上下文关联,以发现潜在的威胁行为。这种方法不仅更精细,而且更能反映出网络环境的复杂性和动态性。

7、python脚本监控性能测试(全磁盘监控):

目前测试CPU和内存应该是挺稳定的,下次再进行web服务器测试,因为web服务器的日志读取非常频繁,那个时候再测试监控性能。