Importer des règles de sécurité Sigma

Le format Sigma est un langage standard unifié pour décrire des règles de détection d'incidents basées sur des logs. Les règles Sigma permettent notamment de créer et partager des règles de détection normalisées, et utilisables quel que soit le SIEM ou le système.

Elles sont écrites dans un fichier texte au format YAML et sont transmises à SES Evolution via son API publique par un SIEM ou par un administrateur de la sécurité. Pour plus d'informations, reportez-vous à la Documentation Sigma.

Stormshield a développé deux scripts d'import qui permettent d'envoyer les règles Sigma à l'API SES Evolution, de les convertir en règles SES Evolution, et de les déployer sur les agents.

Si vous souhaitez utiliser directement les requêtes API sans l'aide des scripts Stormshield, reportez-vous à la section Activer et gérer l'API publique de SES Evolution et à la Documentation API.

Vous pouvez activer les règles de sécurité Sigma via la protection avancée : Protection avancée Sigma.

  • Pour des raisons de sécurité, utilisez uniquement les scripts officiels fournis et signés par Stormshield.

  • L'autorité de certification racine de SES Evolution doit être présente sur la machine où sont exécutés les scripts d'import de règles Sigma. Cela garantit que la communication entre le backend et le poste est de confiance et que la clé d'API ne sera jamais transmise à un tiers. Pour plus d'informations, reportez-vous à la sectionImporter des règles de sécurité Sigma.

    NOTE
    Les machines hébergeant les composants du backoffice SES Evolution disposent déjà de l'autorité de certification requise.

  • Les règles Sigma importées dans SES Evolution doivent être des règles de détection de type Evénement de journal Windows ou Création de processus Windows, ou des règles de filtrage.

  • Vous devez disposer d'une clé d'API avec l'usage Politiques. Pour plus d'informations, reportez-vous à la section Activer et gérer l'API publique de SES Evolution.
    Assurez-vous de partager cette clé uniquement avec des personnes de confiance.

  • Pour des raisons de sécurité, sous Windows, le script nécessite une version du module PSReadline supérieure à 2.0.4. Pour plus d'informations, reportez-vous à la Documentation Microsoft.

  • Sous Linux, le script d'import nécessite :

    • L'installation d'OpenSSL v3.x minimum.

    • L'installation et l'activation de l'environnement virtuel pour Python : outils pip et venv. Pour plus d'informations, reportez-vous à la documentation Python.

    • L'installation des pré-requis du script dont le fichier requirements.txt est téléchargeable sur votre espace client MyStormshield, section Téléchargements > SES Evolution > Outils.

Vous devez exporter l'autorité de certification racine (CA), puis l'importer sur la machine où vous allez exécuter les scripts Stormshield.

Exporter la CA

  1. Rendez-vous sur une machine hébergeant un composant backoffice SES Evolution : backend, gestionnaire d'agents ou console d'administration.

  2. Dans le Gestionnaire de certificats, sélectionnez la CA SES Evolution Root CA et exportez-la.

  3. Copiez la CA sur la machine où vous souhaitez l'importer.

Importer la CA sur une machine Windows

  • Doucle-cliquez sur le fichier de la CA et suivez les instructions de l'utilitaire d'import de certificats.

Importer la CA sur une machine Linux

  1. Installez l'outil ca-certificates.

  2. Convertissez la CA exportée précédemment vers le format .crt grâce à la commande suivante :

    openssl x509 -inform DER -in sesrootca.cer -out sesrootca.crt

  3. Copiez le fichier grâce aux commandes suivantes :

    4. Ubuntu/Debian Red Hat
    cp sesrootca.crt /usr/local/share/ca-certificates cp sesrootca.crt /etc/pki/ca-trust/source/whitelist/

  4. Finalisez l'import de la CA grâce aux commandes suivantes :

    5. Ubuntu/Debian Red Hat
    update-ca-certificates update-ca-trust

 

  1. Sur votre espace client MyStormshield, section Téléchargements > SES Evolution > Outils, téléchargez les scripts insert-sigma-rules-from-folder.ps1 pour Windows, et insert-sigma-rules-from-folder.py pour Linux.

  2. Regroupez toutes vos règles Sigma dans le même répertoire, y compris les règles de filtrage liées.

  3. Sur un poste Windows, ouvrez une fenêtre PowerShell dans le répertoire où se trouvent les scripts et exécutez la commande suivante :

    .\insert-sigma-rules-from-folder.ps1 -Directory Répertoire_Règles_Sigma -HostName Adresse_Backend -ApiKey Clé_API********


    Sur un poste Linux, exécutez la commande suivante :

    python3 ./insert-sigma-rules-from-folder.py -directory Répertoire_Règles_Sigma -hostname Adresse_Backend -apiKey Clé_API********

SES Evolution importe les règles Sigma, les convertit, et les déploie sur les agents.

L'état de l'import de chaque règle est indiqué sur l'écran, avec un message d'erreur si l'import d'une règle échoue.

Une nouvelle version de la Protection avancée Sigma est créée, visible dans la console d'administration. Sa description affiche le nombre de règles qu'elle contient et sa date de mise à jour au format UTC. Pour plus d'informations, reportez-vous à la section Configurer les protections avancées.

Les règles individuelles ne sont pas visibles dans la console. Pour consulter la liste des règles, vous devez utiliser la requête API /sigma/last-import-state. Pour plus d'informations, reportez-vous à la Documentation API.

ATTENTION
Pour des raisons de sécurité, après avoir utilisé le script sous Linux, assurez-vous que l'historique du terminal ne contient plus aucune information d'authentification. Utilisez la commande history -d <line number> pour supprimer les lignes concernées.

Deux méthodes sont disponibles pour activer les règles Sigma dans SES Evolution.

Utiliser le jeu de règles Stormshield - Protection Sigma

  1. Sur votre espace client MyStormshield, section Téléchargements > SES Evolution > Outils, téléchargez le jeu de règles partagé Stormshield - Sigma protection.cab.

  2. Ajoutez le jeu de règles aux politiques souhaitées. Pour plus d'informations, reportez-vous à la section Créer une politique de sécurité

Par défaut, le jeu de règles utilise la dernière version de la Protection avancée Sigma.

Activer la Protection avancée Sigma dans un jeu de règles existant

Pour plus d'informations, reportez-vous à la section Configurer les protections avancées.

Les logs Sigma sont visibles comme les autres logs dans l'interface de l'agent et dans le panneau Logs agents de la console d'administration. Ils ont néanmoins les spécificités suivantes :

  • Lorsque les règles Sigma sont déclenchées par un processus ou un événement du journal Windows, elles émettent un log de type Protection,

  • Le bouton de navigation vers la règle est masqué sur ces logs,

  • Des informations telles que le titre, l'auteur, et l'identifiant de la règle s'affichent dans les détails du log,

  • SES Evolution convertit les niveaux de gravité des logs Sigma de la manière suivante :

Sigma SES
Informational Notice
Low Warning
Medium Error
High Critical
Critical Alert

Pour plus d'informations, reportez-vous à la section Surveiller l'activité des agents SES Evolution