Apa Itu SIGMA Rule?

Sigma adalah alat yang digunakan untuk mengidentifikasi pola dalam log events dengan menggunakan aturan (rules). Sama seperti YARA yang digunakan untuk file dan Snort untuk traffic jaringan, SIGMA dikhususkan untuk log files.

Aturan dalam SIGMA terdiri dari sekumpulan detection fields yang mendeskripsikan event berbahaya untuk diidentifikasi. Alat ini sangat berguna dalam kegiatan log hunting dan deteksi ancaman di sistem.

Komponen Utama SIGMA Rule

1. Title
   • Judul aturan yang menggambarkan secara singkat tujuan aturan tersebut. Misalnya, memberikan nama alert yang relevan dengan log.
2. Rule ID
   • ID unik untuk setiap aturan (UUID). Ini memungkinkan pengelolaan aturan secara terorganisir.
   • Ada tipe aturan terkait seperti:
     • Derived Rule: Aturan turunan dari aturan lain.
     • Merged Rule: Aturan yang digabung dari aturan lainnya.
     • Renamed Rule: Aturan yang sebelumnya dinamai ulang.
3. Status
   • Status aturan yang menunjukkan tingkat penerapannya:
     • Stable: Digunakan di sistem produksi.
     • Test: Masih diuji untuk validasi.
     • Experimental: Masih dalam tahap awal pengembangan.
4. Fields
   • Bagian ini mengevaluasi elemen penting dalam log tertentu, misalnya menentukan field yang harus cocok.
5. False Positives
   • Menjelaskan potensi false positive yang dapat terjadi agar tim deteksi dapat memitigasi kesalahan interpretasi.
6. Description
   • Deskripsi aturan untuk memberikan detail tambahan mengenai apa yang dilakukan aturan tersebut.
7. Tags
   • Dapat mencakup kategori atau referensi dari framework seperti MITRE ATT&CK, menggambarkan teknik serangan tertentu.
8. Author & Date
   • Penulis aturan dan tanggal dibuatnya aturan untuk dokumentasi yang jelas.
9. Log Source
   • Sumber log yang menjadi target aturan, termasuk produk (misalnya Windows, Cisco), layanan (syslog, Linux), atau kategori (process_access, event_creation).
10. Level
    • Tingkatan pentingnya aturan, seperti informational, critical, high, atau medium.

General Properties SIGMA

• Semua nilai dianggap case-insensitive.
• Dapat menggunakan wildcard seperti * dan ?.
• Wildcards bisa diterapkan di tingkat field atau value.
• Ekspresi reguler bersifat case-sensitive.

Special Field Values

• Nilai kosong didefinisikan dengan –.
• Null value didefinisikan dengan null.

Detection dalam SIGMA Rule

Komponen deteksi menentukan cara memicu aturan berdasarkan selection dan condition.

Fieldname

• Mendefinisikan nilai log yang dipilih.
• Bisa dikaitkan dengan logikal OR atau digunakan untuk menyaring event tertentu.

Value Modifiers

• Modifier memberikan fleksibilitas dalam memeriksa nilai log, seperti:
  • startswith: Nilai diawali dengan string tertentu.
  • endswith: Nilai diakhiri dengan string tertentu.
  • contains: Nilai mengandung substring.
  • base64: Nilai berbentuk Base64 encoding.

Condition

• Kombinasi logikal seperti:
  • Logical AND/OR: Kombinasi keyword.
  • NOT: Mengecualikan hasil tertentu.
  • All of Selection: Cocokkan seluruh seleksi.
  • Count operator: Membandingkan jumlah kemunculan.

Contoh SIGMA Rule

title: Demo Rule

id: dd28720e-664c-4c53-981c-2a5894949682

status: experimental

description: Sigma rule for demo.

references:

  – https://demo.com

tags:

  – attack.execution

  – attack.t1033.001

author: Thomas Roccia, Harry Potter, Jack Sparrow

date: 2021/12/06

logsource:

  category: process_access

  product: windows

detection:

  selection:

    FieldName: StringValue

    FieldName2: IntegerValue

    FieldNameModifier: ‘*Value’

condition: selection

level: critical

Mengapa SIGMA Rule Penting?

SIGMA memberikan fleksibilitas dalam mendeteksi pola ancaman di berbagai sumber log, tanpa terikat pada format log tertentu. Dengan kemampuan ini, SIGMA dapat digunakan oleh tim keamanan untuk membuat aturan deteksi serangan yang lintas platform dan lebih efisien.