Produit

Les avantages des règles Sigma et YARA dans un EDR

Sigma et YARA sont des formats de règles qui permettent de détecter les menaces – respectivement les comportements et les fichiers (ou binaires) malveillants. Quels sont les avantages de ces formats, et comment ces règles sont-elles intégrées dans l’EDR d’HarfangLab ?
7 min

Sigma et YARA sont des formats de règles qui permettent de détecter les menaces – respectivement les comportements et les fichiers (ou binaires) malveillants. 

Quels sont les avantages de ces formats, et comment ces règles sont-elles intégrées dans l’EDR d’HarfangLab ?  

Sigma : définition 

Sigma est un format de règles de détection standard, largement utilisé par la communauté cyber. Il permet d’écrire des règles de détection pour identifier les comportements malveillants. 

YARA : définition 

YARA est un outil qui permet aux analystes et aux chercheurs d’identifier et de classer les fichiers malveillants. YARA permet en outre de créer des descriptions de familles de malwares basées sur des modèles textuels ou binaires. C’est un format ouvert et aussi largement utilisé dans la communauté cyber. 
 

Pourquoi les analystes plébiscitent les formats Sigma et YARA

L’EDR d’HarfangLab s’appuie entre autres sur les formats standards Sigma et YARA, car ils présentent plusieurs intérêts : 

  • C'est un format connu des experts cyber, ce qui facilite la prise en main ;
  • S’ils ne sont pas déjà familiarisés avec Sigma et YARA, les analystes peuvent se former et capitaliser sur ces compétences qui leur seront utiles sur de nombreux outils de sécurité ; 
  • Sigma et YARA facilitent l’interconnexion avec l’écosystème de sécurité existant ; 
  • Ces règles sont accessibles, elles peuvent être personnalisées, et le fait que leurs formats soient connus fait qu’elles sont simples à comprendre et à exploiter. 

Ces règles peuvent venir : 

  • de sources publiques, accessibles via des dépôts (repositories ou repo) publics, par exemple sur Github,  
  • de sources externes via des entités telles que l’ANSSI en France, par exemple, 
  • des équipes CTI de l’éditeur de la solution de sécurité, 
  • de sources, telles que le CERT d’une organisation. 

Le choix des formats standards Yara et Sigma, et la possibilité de modifier ces règles pour les personnaliser, sont de véritables atouts pour nos équipes qui apprécient également le système de whitelists.”
Responsable Cybersécurité - Groupe Industriel

Et pour HarfangLab EDR, d’où viennent ces règles Sigma et YARA ? 

Sigma et YARA : règles open source vs. règles écrites par une équipe CTI

Les dépôts publics contiennent des milliers de règles qui peuvent être utilisées par les solutions de sécurité, mais le métier d'un analyste exige plus que de faire de la veille sur les dépôts publics pour simplement récupérer l'ensemble des règles qui s'y trouvent. 

C'est la raison pour laquelle HarfangLab EDR fait le choix de s’appuyer sur plus de 2000 règles conçues par ses équipes de Cyber Threat Intelligence (CTI), et non sur des milliers de règles venant de dépôts publics. Pourquoi ? Afin de privilégier la qualité. 

Bien que des règles publiques puissent servir de base de travail, les équipes d’HarfangLab ne se contentent pas de pousser des règles en masse dans les différents moteurs de détection. 

Ces règles sont travaillées dans la durée, afin de les faire vivre et évoluer en fonction du contexte cyber.  

Ainsi, un processus complet d’écriture, de qualification, de tests (notamment pour limiter le nombre de faux positifs) et de suivi du cycle de vie des règles Sigma et YARA guide le travail des équipes CTI. 

C'est entre autres ce travail de R&D continu autour des règles de détection qui contribue à la valeur de l’EDR, au-delà de l’outil !  
 
Les utilisateurs peuvent d’ailleurs constater la pertinence de règles à l’aide de tests “Out of the box”. Ces tests consistent à installer différentes solutions en vue d’évaluer leurs performances avant la couche de personnalisation de la détection (règles, IOCs, gestion des exceptions...). Par la suite, la personnalisation via l’ajout de règles, et la mise en place de whitelists, permettent d’affiner encore la détection, et cette personnalisation est facilitée par la mise à disposition de formats standards.

Ces règles sont affichées et modifiables directement dans la console de l’EDR pour favoriser la compréhension des alertes par les analystes, et aider la gestion du cycle de vie des règles en place. 

Règles affichées en clair : un réel atout pour les attaquants ? 

“HarfangLab EDR donne accès à ses règles de détection, et affiche les règles Sigma et YARA pour permettre aux analystes de comprendre ce qui a déclenché une alerte.  
Contrairement aux idées reçues, afficher ces règles ne facilite pas le travail des attaquants, tout comme le fait de les masquer ne préserve pas des tentatives de contourner les outils de protection. En effet, il y a deux cas de figure : le cybercrime, et les attaques avancées ou APT. 

Dans le cas du cybercrime, les attaquants ne vont pas réellement chercher à être discrets, et généralement les actions pour rester sous les radars vont uniquement consister à désactiver un éventuel outil de sécurité présent sur le poste. 

Pour des attaques avancées, les attaquants préparent plus minutieusement leurs actions et le fait qu'un outil affiche ou non ces règles ne changera pas grand chose pour eux. 

En somme, le fait qu’un outil soit transparent en matière de règles est donc un réel avantage pour les utilisateurs, mais ce serait faux de croire que cela revient à laisser la porte ouverte aux attaquants.” 

Emeric Boit, Lead CTI – HarfangLab  

Pour aller plus loin, voyons maintenant quelques détails à propos des avantages des règles Sigma pour optimiser la protection d’un parc informatique.  

Pourquoi nous concentrer sur les règles Sigma ?  
Comme nous l’avons vu, les règles Sigma permettent d’identifier les comportements malveillants, et les règles YARA se concentrent sur les binaires... et un SIEM collecte des informations sur les événements liés à des actions dans un SI (et non sur des fichiers) !

La gestion des règles Sigma entre un EDR et un SIEM 

Un SIEM propose généralement une plus grande période de rétention des données par rapport à un EDR, et cela permet de faire du hunting en capitalisant sur les règles Sigma issues de l’EDR qui peuvent venir compléter celles du SIEM. 

Etant donné qu’un SIEM peut aussi récupérer des logs d’autres sources (firewalls, routeurs, serveurs mails...), les analystes peuvent alors établir des corrélations et pousser les investigations plus loin. 

Enfin, un SIEM gère les détections a posteriori, alors qu’un EDR permet de mettre en place des actions de blocage ou de remédiation en temps réel. Pour cette raison, il peut être plus intéressant de mettre certaines règles directement dans l’EDR. 

Et comme pour faire face aux menaces, nous savons à quel point le temps est précieux, la détection s'effectue directement au niveau de l'agent déployé sur le poste. 

Pourquoi l’EDR HarfangLab intègre les règles Sigma et YARA directement dans les agents ? 

Intégrer les règles Sigma et YARA directement dans les agents garantit un blocage au plus près de la menace. 

En effet, comme nous l’avons vu, un SIEM traite les données a posteriori, contrairement à un EDR qui peut appliquer des mesures ou des actions de blocage en temps utile (empêcher le chargement d’un driver, le lancement d’un processus...) - ce qui n’est pas le rôle d’un SIEM. 

Enfin, grâce au fait de placer les règles dans les agents, un EDR peut fonctionner en autonomie. S’il est déconnecté du réseau il peut rester opérationnel, contrairement à un SIEM qui n'a plus de visibilité sur le Système d’Information lorsque le réseau est coupé (les données ne remontent plus).  
Ainsi, les agents étant placés directement sur les endpoints, même en cas de coupure réseau, l’EDR continue de voir ce qui se passe. 

Vous voulez en savoir plus sur le fonctionnement de notre EDR ?