[Sigma Rule] 제17화: Sigma + EDR 통합

이번 글에서는 Sigma 규칙을 EDR(Endpoint Detection and Response)과 어떻게 통합하는지 실무 중심으로 정리해드리겠습니다.

HarfangLab와 Optiv 자료에 따르면, Sigma는 EDR의 로그 기반 탐지와 YARA의 바이너리 탐지를 보완하며, SIEM과 EDR 간 규칙 공유를 표준화합니다.

즉, EDR 텔레메트리를 Sigma로 변환해 커뮤니티 규칙을 바로 활용하거나, EDR 이벤트를 SIEM으로 연동하는 방식입니다.

 

◎ EDR에서 Sigma를 쓰는 이유

 - EDR은 프로세스, 네트워크, 파일 이벤트를 실시간으로 수집하지만, 탐지 규칙은 벤더별 언어(YARA, KQL, OQL 등)로 제한됩니다. 

 - Sigma는 플랫폼 독립 규칙으로 이를 해결하며, Defender, CrowdStrike, SentinelOne 등에서 텔레메트리를 Sigma로 변환해 3,700+ 커뮤니티 규칙을 활용할 수 있습니다. 

 - HarfangLab EDR처럼 Sigma를 에이전트에 직접 내장한 제품도 등장했습니다.

 

 - 장점

• 공유성: SigmaHQ 규칙 바로 사용.
• 확장성: SIEM과 EDR 규칙 통합.
• 표준화: YARA(바이너리) + Sigma(로그) 조합.

 

◎ Sigma + EDR 워크플로

1. EDR 텔레메트리 → Sigma 변환:

EDR (Defender) → Sysmon EVTX → Sigma CLI 변환 → 탐지

 

2. Sigma 규칙 → EDR 네이티브 룰:

Sigma YAML → sigma-cli → EDR 언어 (KQL, OQL)

 

3. EDR 로그 → SIEM 연동:

EDR API → Sigma 변환 → Splunk/Elastic 탐지

 

◎ 1단계: EDR 텔레메트리를 Sigma로 변환

 - Microsoft Defender for Endpoint

# Advanced Hunting → EVTX 내보내기 # sigma-cli로 변환 sigma convert --target splunk defender_evtx/

 

 - CrowdStrike Falcon

# Falcon LogScale → JSON → Sigma 파이프라인 sigma convert --pipeline ecs_windows falcon_logs/

 

 - SentinelOne

# Singularity 로그 → Sysmon 형식 → Sigma # AlphaSOC 통합 가능 [web:336]

 

 - Sysmon + Sigma (범용)

# EDR가 Sysmon 지원 시 SigmaHQ 규칙 바로 적용 hayabusa.exe -d sysmon.evtx -r sigma/rules/windows/

 

◎ 2단계: Sigma 규칙을 EDR에 적용

 - Defender Advanced Hunting (KQL)

sigma convert --target sentinel defender_rules.yml # 출력: DeviceProcessEvents | where ProcessCommandLine contains "powershell"

 

 - CrowdStrike Falcon Query Language (FQL)

# 커스텀 파이프라인 필요 sigma plugin install falcon sigma convert --target falcon sigma_rules/

 

 - EDR 에이전트 내장 Sigma

HarfangLab EDR: 2,000+ Sigma 규칙 에이전트 내장 Kaspersky KEA: Sigma 이상행위 탐지 지원

 

◎ 3단계: 실전 통합 예시

 - 예시 1: PowerShell 탐지:

title: Suspicious PowerShell Parent logsource:   category: process_creation   product: windows detection:   selection:     Image|endswith: '\powershell.exe'     ParentImage|endswith:       - '\cmd.exe'       - '\wscript.exe'   condition: selection

 

 - EDR 적용:

# Sysmon EVTX → Sigma CLI → SIEM # 또는 Defender KQL 변환

 

 - 예시 2: 랜섬웨어 전조:

1. 프로세스 생성 (Sigma 1) 2. 파일 확장자 변경 (Sigma 2)   3. 네트워크 실패 급증 (Sigma 3) → Meta Rule correlation

 

◎ 4단계: EDR + SIEM 하이브리드

 - EDR 실시간 차단

Sigma → EDR 에이전트 → 즉시 차단 (HarfangLab 방식)

 

 - SIEM 상관분석

EDR 이벤트 → SIEM → Sigma correlation rule

 

 - 워크플로

EDR Sigma Hit → SIEM Meta Rule → Active Response

 

◎ 5단계: 도구와 파이프라인

1. Hayabusa (오프라인 EDR 분석)

hayabusa.exe -d edr_evtx/ -r sigma/rules/windows/ # EDR EVTX 오프라인 분석

 

2. Velociraptor

# Sigma 규칙 내장 EDR velociraptor query "sigma.rules"

 

3. Osquery + Sigma

osqueryi --sigma_file sigma_rules/

 

4. MDEConnector

# Defender → Sysmon → Sigma mdeconnector | sigma-cli

 

◎ 6단계: 운영 전략

1. EDR 우선 탐지

High Confidence Sigma → EDR 차단 Low Confidence → SIEM 상관분석

 

2. 규칙 우선순위

rules/edr_block/     # 즉시 차단 rules/siem_hunt/     # 사후 분석

 

3. 피드백 루프

EDR Hit → Sigma 튜닝 → 재배포

 

◎ 7단계: 상용 EDR Sigma 지원

 - Kaspersky KEA

Sigma 이상행위 탐지 내장 [해외 문서]

 

 - HarfangLab EDR

2,000+ Sigma 규칙 에이전트 탑재 [web:333]

 

 - AlphaSOC

Defender/CrowdStrike/SentinelOne 텔레메트리 Sigma 변환 [web:336]

 

◎  마무리

• Sigma + EDR은 실시간 차단과 상관분석을 결합하는 강력한 조합입니다. 
• EDR 텔레메트리를 Sigma로 변환해 커뮤니티 규칙 활용, 또는 Sigma를 EDR 네이티브 언어로 변환해 배포하는 두 가지 접근 모두 실무에서 효과적입니다.