Sigma & Atomic Red Team

Objetivo Técnico

Sigma padroniza regras de detecção de forma portável entre SIEMs. Atomic Red Team oferece testes pequenos e controlados para simular técnicas ATT&CK e validar se a telemetria defensiva realmente enxerga o comportamento.

Checklist Operacional

1. Selecionar a técnica ATT&CK validada no pentest ou relevante ao controle defensivo.
2. Confirmar fonte de log disponível: Windows Security, Sysmon, PowerShell, EDR, proxy, DNS ou aplicação.
3. Escrever ou selecionar regra Sigma com campos compatíveis com a telemetria real.
4. Executar Atomic Red Team apenas em laboratório ou janela autorizada.
5. Registrar resultado: alerta gerado, falso negativo, ruído, campo ausente e ajuste necessário.

Fluxo de Validação

Achado: PowerShell suspeito em host Windows
ATT&CK: T1059.001 PowerShell
Telemetria: PowerShell Script Block Logging + Sysmon process creation
Sigma: regra para powershell.exe com parametros incomuns ou encoded command
Atomic: teste controlado para T1059.001 em laboratorio
Resultado esperado: evento coletado, regra dispara e analista tem contexto suficiente

Validação e Evidência

• Guarde ID da regra, fonte de log, query convertida e evento que disparou.
• Quando não disparar, documente se faltou log, parser, campo, regra ou retenção.
• Valide falsos positivos com processo pai, usuário, host, linha de comando e frequência.
• Conecte a regra a uma técnica ATT&CK e a um cenário real de abuso.

Mitigação e Detecção

• Use Sigma para padronizar lógica de detecção antes de adaptar ao SIEM específico.
• Use Atomic Red Team para medir cobertura, não para provar impacto ofensivo em produção.
• Amarre cada detecção a uma ação de resposta: triagem, contenção, enriquecimento ou reteste.