SigmaShooter: Aplicación web para la gestión y ejecución de firmas Sigma

Abstract

Currently, most companies that use technology have security information and event management systems, known as SIEM. Relevant activities logs are sent and integrated to SIEM systems, where then can be correlate, manage and analyze to detect malicious activities or anomalous patterns. Each SIEM has its own language for querying data, so the same search can differ between different SIEM. This problem is solved with Sigma. Sigma is a generic and open signature format that allows you to describe relevant log events in a straight forward manner. The main goal of Sigma project is to provide a structured way in which researchers can describe their detection methods once developed and make them shareable with others. In this way, a Sigma signature created by an analyst can be converted to a query for most of used SIEM, although its procedure can be complicated and tedious if the number of rules is very high. To solve this problem, SigmaShooter project is presented in this Final Master's Project. SigmaShooter is a repository web application for Sigma rules administration, management and execution in a programmed and automatic way against the configured SIEM system. The final aim of the project is to provide a tool to help analysts run Sigma signatures easily, or even in an automatic way, against the organization's configured SIEM.

En la actualidad, la mayoría de las empresas que hacen uso de la tecnología disponen de sistemas de información de seguridad y gestión de eventos, más conocidos como sistemas SIEM, donde se envían e integran todos los registros posibles de una organización y de esta manera correlacionar, administrar y analizar todos los datos para conseguir detectar actividades maliciosas o patrones anómalos. Cada sistema SIEM dispone de un lenguaje propio para la consulta de datos, por lo que una misma búsqueda puede diferir entre diferentes SIEM. Este problema se resuelve con Sigma. Sigma es un estándar abierto y genérico de firmas que permite describir registros relevantes de una manera directa. El objetivo principal del proyecto Sigma es proporcionar una forma estructurada en la que los investigadores puedan describir sus métodos de detección una vez desarrollados y hacerlos compartibles con otros. De esta forma, la firma Sigma creada por un analista puede ser convertida a una consulta para la mayoría de los SIEM más utilizados, aunque su procedimiento puede ser complicado y tedioso si el número de firmas es muy elevado. Para solucionar este problema, se presenta en este Trabajo Final de Máster el proyecto de SigmaShooter, una aplicación web con función de repositorio de firmas Sigma para su administración, gestión y ejecución de manera programada y automática contra el sistema SIEM configurado. El objetivo final del proyecto es proporcionar una herramienta de ayuda al analista para que, con muy poco esfuerzo, o incluso de manera automatizada, se puedan ejecutar firmas Sigma contra el SIEM configurado de la organización.

En l'actualitat, la majoria de les empreses que fan ús de la tecnologia disposen de sistemes d'informació de seguretat i gestió d'esdeveniments, més coneguts com a sistemes SIEM, on s'envien i integren tots els registres possibles d'una organització i d'aquesta manera correlacionar, administrar i analitzar totes les dades per a aconseguir detectar activitats malicioses o patrons anòmals. Cada sistema SIEM disposa d'un llenguatge propi per a la consulta de dades, per la qual cosa una mateixa cerca pot diferir entre diferents SIEM. Aquest problema es resol amb Sigma. Sigma és un estàndard obert i genèric de signatures que permet descriure registres rellevants d'una manera directa. L'objectiu principal del projecte Sigma és proporcionar una forma estructurada en la qual els investigadors puguin descriure els seus mètodes de detecció una vegada desenvolupats i fer-los compartibles amb uns altres. D'aquesta manera, la signatura Sigma creada per un analista pot ser convertida a una consulta per a la majoria dels SIEM més utilitzats, encara que el seu procediment pot ser complicat i tediós si el nombre de signatures és molt elevat. Per a solucionar aquest problema, es presenta en aquest Treball Final de Màster el projecte de SigmaShooter, una aplicació web amb funció de repositori de signatures Sigma per a la seva administració, gestió i execució de manera programada i automàtica contra el sistema SIEM configurat. L'objectiu final del projecte és proporcionar una eina d'ajuda a l'analista perquè, amb molt poc esforç, o fins i tot de manera automatitzada, es puguin executar signatures Sigma contra el SIEM configurat de l'organització.