Sigma-Regel
Was ist Sigma-Regel?
Sigma-RegelEine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
Sigma ist ein offenes Detection-Engineering-Format von Florian Roth und Thomas Patzke, mit dem Analysten log-basierte Detections einmal beschreiben und mit Convertern wie pySigma oder Sigma CLI in viele SIEM-Dialekte (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle u. a.) uebersetzen koennen. Eine Sigma-Regel kombiniert Metadaten (id, Level, MITRE ATT&CK-Mapping), eine Logsource (Produkt, Service, Kategorie) und einen Detection-Block mit Selektoren und einer Bedingung. Das Sigma-HQ-Repo enthaelt tausende Community-Regeln fuer Windows Event Logs, Sysmon, Linux-Audit, AWS CloudTrail, Okta u. v. m. und ermoeglicht portable, teilbare Detection-Inhalte.
● Beispiele
- 01
Sigma-Regel, die verdaechtige Kindprozesse von winword.exe erkennt, um Makro-basierte Malware aufzuspueren.
- 02
Konvertieren einer Sigma-Regel mit pySigma in Microsoft-Sentinel-KQL fuer eine Analytics Rule.
● Häufige Fragen
Was ist Sigma-Regel?
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sigma-Regel?
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
Wie schützt man sich gegen Sigma-Regel?
Schutzmaßnahmen gegen Sigma-Regel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sigma-Regel?
Übliche alternative Bezeichnungen: Sigma-Signatur, Sigma-Format.