Eine auf den Sigma-Regeln beruhende Detection Engine, um Bedrohungen durch Erkennen von verdächtigem Verhalten zu blockieren.
Die auf den Sigma-Regeln basierende Verhaltens-Engine ermöglicht es Analysten, Regeln zu erstellen und auszutauschen, die Techniken, Werkzeuge und Verfahren (TTPs) sowie das Verhalten von Angreifern beschreiben, welche in Cybersecurity–Frameworks wie der Matrix MITRE ATT&CK aufgelistet sind.
Sigma-Regeln zur Erkennung von:
Die regelbasierte Verhaltens-Engine im Standardformat Sigma identifiziert schädliche Programme und Verhaltensweisen auch dann, wenn keine Signaturen von der YARA-Signatur-Engine oder keine Kompromittierungsindikatoren von der IOC-Engine erkannt wurden.
So kann sie Varianten bekannter Viren, für die keine Signaturen oder IOCs vorliegen oder neue Viren oder Programme, die verdächtige Verhaltensweisen erzeugen, identifizieren.
Die Regeln der Sigma-Verhaltens-Engine werden von unserem Cyber Threat Intelligence (CTI)-Team nach Betriebssystemen (OS) und Versionen geordnet langfristig entwickelt, implementiert, gepflegt und erweitert.
Diese kontinuierliche Forschungs- und Entwicklungsarbeit trägt zur Qualität und zum Wert des EDR bei, das einen vollständigen Zugriff auf die Erkennungsregeln bietet, damit Analysten den Ursprung der Warnungen identifizieren können.
Darüber hinaus können die Regeln bearbeitet und erweitert werden. So können die Benutzer Regeln aus Drittquellen hinzufügen, die auf ihren eigenen Kontext ausgerichtet oder breiter gefasst sind, um schwache Signale zu erkennen.
Die Sigma-Verhaltens-Engine nimmt Ereignisse auf Arbeitsstationen und Servern auf und wendet die vom CTI-Team entwickelten Regeln an, um verdächtige oder bösartige Verhaltensweisen zu erkennen. Hierbei werden Bedrohungen wie beispielsweise Techniken zur Erhöhung von Benutzerberechtigungen, Datendiebstahl aus Browsern oder Prozessen, Persistenz usw. abgedeckt.
Sigma and YARA are rule formats for detecting threats – malicious behaviors and files (or binaries) respectively. What are the…
