Sigma-Regel
Was ist Sigma-Regel?
Sigma-RegelEine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
Sigma ist ein offenes Detection-Engineering-Format von Florian Roth und Thomas Patzke, mit dem Analysten log-basierte Detections einmal beschreiben und mit Convertern wie pySigma oder Sigma CLI in viele SIEM-Dialekte (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle u. a.) uebersetzen koennen. Eine Sigma-Regel kombiniert Metadaten (id, Level, MITRE ATT&CK-Mapping), eine Logsource (Produkt, Service, Kategorie) und einen Detection-Block mit Selektoren und einer Bedingung. Das Sigma-HQ-Repo enthaelt tausende Community-Regeln fuer Windows Event Logs, Sysmon, Linux-Audit, AWS CloudTrail, Okta u. v. m. und ermoeglicht portable, teilbare Detection-Inhalte.
● Beispiele
- 01
Sigma-Regel, die verdaechtige Kindprozesse von winword.exe erkennt, um Makro-basierte Malware aufzuspueren.
- 02
Konvertieren einer Sigma-Regel mit pySigma in Microsoft-Sentinel-KQL fuer eine Analytics Rule.
● Häufige Fragen
Was ist Sigma-Regel?
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sigma-Regel?
Eine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
Wie funktioniert Sigma-Regel?
Sigma ist ein offenes Detection-Engineering-Format von Florian Roth und Thomas Patzke, mit dem Analysten log-basierte Detections einmal beschreiben und mit Convertern wie pySigma oder Sigma CLI in viele SIEM-Dialekte (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle u. a.) uebersetzen koennen. Eine Sigma-Regel kombiniert Metadaten (id, Level, MITRE ATT&CK-Mapping), eine Logsource (Produkt, Service, Kategorie) und einen Detection-Block mit Selektoren und einer Bedingung. Das Sigma-HQ-Repo enthaelt tausende Community-Regeln fuer Windows Event Logs, Sysmon, Linux-Audit, AWS CloudTrail, Okta u. v. m. und ermoeglicht portable, teilbare Detection-Inhalte.
Wie schützt man sich gegen Sigma-Regel?
Schutzmaßnahmen gegen Sigma-Regel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sigma-Regel?
Übliche alternative Bezeichnungen: Sigma-Signatur, Sigma-Format.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- defense-ops№ 1258
YARA-Regel
Eine textuelle Signatur in der YARA-Sprache, die Byte-, String- oder Verhaltensmuster beschreibt, um Malware-Samples und Dateien zu klassifizieren und zu erkennen.
- forensics-ir№ 627
Log-Analyse
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
● Siehe auch
- № 886Pyramid of Pain
- № 1124Sysmon