?user=<ваш_user_id>.Сценарий: на Windows-станциях в инфраструктуре Kyzylorda Tech наблюдается всплеск активности wmic для запуска кодированных PowerShell-полезных нагрузок — техника MITRE T1047 + T1059.001. SOC попросил тебя написать Sigma-правило, которое отлавливает этот паттерн без ложноположительных срабатываний на легитимных администраторов.
Артефакт: events.json (доступен ниже) — образец Windows EventLog/Sysmon событий: 50 нормальных событий и 5 событий атаки. Используй для тестирования своего правила локально.
Задача: вставь YAML-текст Sigma-правила в поле отправки. Backend:
1. Запустит твоё правило против тестового набора с 1000 нормальных + 20 атакующих событий
2. Должно поймать все 20 атак (без пропусков)
3. Должно дать ≤2 ложноположительных на 1000 нормальных
Формат флага: flag{sigma_author_{USER_HASH}} (выдаётся backend-ом при прохождении).
Сценарий: Kyzylorda Tech инфрақұрылымындағы Windows-станцияларда wmic арқылы PowerShell-дің кодталған payload-тарын іске қосу әрекеттерінің күрт өсуі байқалуда — MITRE T1047 + T1059.001 техникасы. SOC сенен бұл үлгіні әділ әкімшілердің әрекеттерін жалған шығармай ұстай алатын Sigma ережесін жазуыңды сұрады.
Артефакт: events.json (төменде жүктеу үшін қолжетімді) — Windows EventLog/Sysmon оқиғаларының үлгісі: 50 қарапайым оқиға + 5 шабуыл оқиғасы. Жергілікті тестілеу үшін.
Тапсырма: Sigma ережесінің YAML мәтінін жіберу өрісіне қой. Backend:
1. Ережеңді 1000 қарапайым + 20 шабуыл оқиғадан тұратын тест жиынында іске қосады
2. 20 шабуылдың бәрін ұстау керек (өткізіп алмау)
3. 1000 қарапайым оқиғаның арасынан ≤2 жалған оң нәтиже беруі тиіс
Жалаушаның форматы: flag{sigma_author_{USER_HASH}} (өткен жағдайда backend береді).
^flag\{sigma_rule_[a-f0-9]{16}\}$Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Задача о написании правила обнаружения в формате Sigma — стандартный язык SIEM-агностических правил.
KK: Sigma форматында анықтау ережесін жазу туралы тапсырма — SIEM-агностикалық ережелердің стандартты тілі.
RU: Не regex по всей командной строке (даст слишком много FP) и не одно ключевое слово (не поймает все варианты). Класс — комбинация конкретных полей (Image, ParentImage, CommandLine) с modifier'ами contains/endswith.
KK: Барлық командалық жолды regex емес (өте көп FP береді) және бір кілт сөз емес (барлық нұсқаларды ұстамайды). Класс — нақты өрістердің (Image, ParentImage, CommandLine) contains/endswith модификаторларымен комбинациясы.