CHƯƠNG 2 THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG
2.1 Thiết kế hệ thống Rules-Cross-Platform
2.1.3 Quy trình xây dựng tập luật sigma-rules
Thông thường, mỗi kịch bản/luật sẽ được xây dựng dựa trên một kỹ thuật tấn công theo MITRE ATT&CK [2]. Chúng có thể được chia nhỏ ra theo từng nền tảng/dịch vụ như Linux (Auditd, OSQuery), Windows Event Logs/Sysmon hoặc có thể được gộp chung lại dựa trên các đặc điểm chung của nhiều kỹ thuật tấn công khác nhau. Ngoài ra, chúng còn được xây dựng dựa trên các luật đã có
52
trên hệ thống SIEM của khách hàng, hoặc là từ kinh nghiệm, tri thức được đúc rút trong quá trình điều tra và xử lý sự cố của bản thân em trong thực tế. Để xây dựng được thư viện tập luật chuẩn gồm các luật theo định dạng sigma-rules, em đề xuất thực hiện theo các bước trong quy trình như sơ đồ bên dưới.
Xác định tên Usecase theo technique của MITRE ATT&CK
Cài đặt và cấu hình nguồn logs (Windows GPO/Sysmon, Auditd/OSQuery
Thực thi các hành vi tấn công theo Atomic RedTeam hoặc từ các nguồn
Threat Intelligence khác Thống kê các sự kiện liên quan và các
trường thông tin cần chú ý trong logs
Tổng hợp các dấu hiệu đặc trưng của Usecase theo chuẩn sigma-rules
Hình 2.5. Quy trình các bước xây dựng tập luật sigma-rules
Trong đó, bước chuẩn bị sẽ bao gồm việc dựng máy ảo chạy Windows/Linux trên hệ thống ảo hóa và tạo các bản snapshot ghi lại trạng thái ban đầu của hệ thống. Các bản này sẽ cần thiết trong trường hợp việc chạy thử các kịch bản phát sinh một số lỗi nghiêm trọng gây hỏng máy chủ. Các bước tiếp theo trong quy trình sẽ gồm:
Bước 1: Cài đặt và cấu hình nguồn logs trên máy chủ gồm có cấu hình Windows GPO, cài đặt và cấu hình Sysmon trên Windows, hoặc Auditd/OSQuery trên Linux theo cấu hình đã đề xuất.
Bước 2: Xác định tên Usecase cần xây dựng theo technique của MITRE ATT&CK
Bước 3: Thực thi các hành vi tấn công theo Atomic RedTeam [1] hoặc từ một số nguồn Threat Intelligence khác
Bước 4: Thống kê các sự kiện liên quan và các trường thông tin cần chú ý. Ví dụ như thực thi các câu lệnh tấn công thì cần kiểm tra thông tin về tiến trình được khởi chạy với sự kiện có EventID = 4688 trong Windows Event Logs, hoặc EventID = 1 trong logs của dịch vụ Sysmon. Các hành vi liên quan đến cài đặt dịch vụ thì cần kiểm tra sự kiện có EventID = 7045.
Bước 5: Dựa trên các sự kiện liên quan tới Usecase đã thu thập ở trên, tiến hành tổng hợp các dấu hiệu đặc trưng được ghi lại trong logs theo chuẩn sigma- rules.
53