Таксономия - grikos/sigma GitHub Wiki
Данная страница определяет названия полей и источников логов, которые нужно использовать для того, чтобы обеспечить возможность распространения Sigma-правил.
Источники Логов
Обобщенные категории источников логов
События Создания Процесса
События создания процесса могут быть определены с помощью обобщённой категории process_creation. Далее выборка событий может быть ограничена атрибутом product. Пример события создания процесса для источника логов, ограниченного операционной системой Windows:
category: process_creation
product: windows
Названия полей соответствуют названиям полей, используемых в событиях Sysmon:
| Название поля | Пример значения | Комментарий |
|---|---|---|
| UtcTime | 2019-03-02 08:51:00.008 | (бесполезно) |
| ProcessGuid | {c1b49677-43f4-5c7a-0000-0010d3dd8044} | (бесполезно) |
| ProcessId | 1028 | |
| Image | C:\Program Files (x86)\Google\Update\GoogleUpdate.exe | |
| FileVersion | 1.3.28.13 | |
| Description | Google Installer | |
| Product | Google Update | |
| Company | Google Inc. | |
| CommandLine | "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler | |
| CurrentDirectory | C:\Windows\system32\ | |
| User | NT AUTHORITY\SYSTEM | |
| LogonGuid | {c1b49677-3fb9-5c09-0000-0020e7030000} | (бесполезно) |
| LogonId | 0x3e7 | |
| TerminalSessionId | 0 | |
| IntegrityLevel | System | |
| imphash | E96A73C7BF33A464C510EDE582318BF2 | |
| md5 | CCF1D1573F175299ADE01C07791A6541 | |
| sha1 | 0AE1F9071C5E8FE4A69D3F671937935D242D8A6C | |
| sha256 | 68A15A34C2E28B9B521A240B948634617D72AD619E3950BC6DC769E60A0C3CF2 | |
| ParentProcessGuid | {c1b49677-6b43-5c78-0000-00107fb77544} | (бесполезно) |
| ParentProcessId | 1724 | |
| ParentImage | C:\Windows\System32\taskeng.exe | |
| ParentCommandLine | taskeng.exe {88F94E5C-5DC3-4606-AEFA-BDCA976D6113} S-1-5-18:NT AUTHORITY\System:Service: |
Специфические Источники Логов
product: windows: журналы событий операционной системы Windows. Именование атрибутов Windows Eventlog используются в Sigma-правилах.service: security: события журнала безопасности Windows. Некоторые поля могут быть покрыты обобщёнными источниками логовservice: system: события системного журнала Windowsservice: sysmon: события Sysmon. Некоторые поля могут быть покрыты обобщёнными источниками логовservice: taskscheduler: события журнала планировщика заданий Windowsservice: wmi: события журнала Windows Management Instrumentationservice: application: события журналов приложенийservice: dns-server: события журнала сервера DNSservice: driver-framework: события журнала Windows Driver Frameworksservice: powershell: события журнала PowerShellservice: powershell-classic: ???
product: linux: файлы логов Linuxservice: auth: логи аутентификации Linux. Обычно /var/log/auth.log.service: auditd: логи аудита Linuxservice: clamav: логи ClamAV
product: apache: логи демона Apache httpdservice: access: логи доступа - Access logsservice: error: логи ошибок - Error logs
category: proxy- Название полей соответствуют W3C Extended Log File Format. Дополнительные примеры W3 могут быть найдены по ссылке - Microsoft.
- Названия полей:
- c-uri: URL, запрошенный клиентом
- c-uri-extension: расширение URL. Обычно это расширение из имени запрошенного файла
- c-uri-query: компонент Path запрошенного URL
- c-uri-stem: компонент Stem запрошенного URL
- c-useragent: заголовок User-Agent, отправленный от клиента к серверу
- cs-bytes: количество байт, отправленых от клиента к серверу
- cs-cookie: заголовок Cookie, отправленный от клиента к серверу
- cs-host: заголовок Host, отправленный от клиента к серверу
- cs-method: метод запроса HTTP
- r-dns: запрошенный домен. Соответствует загловку Host или домену URL. Рекомендуется использовать поле
cs-hostвместо данного поля - cs-referrer: ссылающийся сайт или ссылка
- cs-version: версия протокола HTTP, которую использует клиент
- sc-bytes: количество байт, отправленых сервером к клиенту
- sc-status: код состояния HTTP
- src_ip: IP-адрес клиента, отправившего запрос
- dst_ip: IP-адрес сервера
category: firewall- Названия полей:
src_ip,src_port,dst_ip,dst_port,username
- Названия полей:
category: dnscategory: webserver- Использует те же самые названия полей, что и
category: proxy
- Использует те же самые названия полей, что и