网安引领时代,弥天点亮未来
安全是一个整体。攻击者的背后是利益驱动,目的是数据。不论是APT(高级持续性威胁)、黑灰产、小黑阔攻击角度或者方法都离不开ATT&CK框架。攻击所涉及的过程产物无非流量、日志、文件(样本),基于此对抗攻击的安全防御产品及技术应运而生,针对流量检测响应的产品以NDR、IDS、IPS、WAF等为代表,针对日志检测关联分析的产品以SIEM、NGSOC、SOC等为代表,针对文件检测的产品以EDR、HIDS等为代表。
图片来自网络
目前基于规则的检测方法绝大多数是对已知安全威胁捕获的最有效手段,这种方式作为当前安全检测的核心与基石,其地位短期内还无法动摇。而针对未知威胁的检测目前还是存在较大难度,但是基础全场景的威胁狩猎技术可以有效发现攻击,但是考虑成本及技术难度难度,目前还不普及。
Suricata/Snort规则是基础流量源数据针对不同协议中字段签名进行匹配检测,根据不同的场景可以分为,在线或离线方式,根据部署方式有串联、旁路方式。(流量)
Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEM、Splunk、Logstash/Elasticsearch、Kibana和其他数据库等工具进行集成将变得非常简单。Suricata项目和代码由开放信息安全基金会(OISF)拥有和支持,OISF是一个非盈利基金会,致力于确保Suricata作为一个开源项目的开发和持续成功。
详见:
https://mp.weixin.qq.com/s/91f-xjj5b2yBjwre9xUbvg
SIGMA规则是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。Sigma规则更偏向于对文件动态行为的审计。(日志)
Sigma支持几种SIEM工具,例如Elasticsearch,IBM QRadar和Splunk。它有以下优点:
1.它使分析能够在组织之间重复使用和共享。
2.高级通用分析语言
3.解决记录签名问题等最可靠的方法
4.纯文本YAML文件
5.简单模式
详见:
https://mp.weixin.qq.com/s/VtsuQDTHW-RM8ele06otMQ
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单来说,就是基于原始文件的内容数据扫描规则。(样本)
yara规则根据使用的用途可以分为hunting yara规则和查杀yara规则两种。hunting作用的yara规则编写相对比较简单。除了命中检测样本之外,还允许命中更多无关的黑样本,但要尽可能少地命中灰色样本和白色样本。查杀yara规则可以看作是hunting yara规则基础上再进行收缩范围的结果,使yara规则只能命中目的样本,达到精准查杀的目的,同时yara轻量便捷。
详见:
https://mp.weixin.qq.com/s/VtsuQDTHW-RM8ele06otMQ
弥天简介
学海浩茫,予以风动,必降弥天之润!弥天弥天安全实验室成立于2019年2月19日,主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子,也是民间组织。主要以技术共享、交流等不断赋能自己,赋能安全圈,为网络安全发展贡献自己的微薄之力。
口号 网安引领时代,弥天点亮未来
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):Suricata/Snort、Yara、Sigma规则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论