Regla Sigma
¿Qué es Regla Sigma?
Regla SigmaFirma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
Sigma es un formato abierto de ingenieria de detecciones creado por Florian Roth y Thomas Patzke que permite describir una regla basada en logs una sola vez y traducirla a multiples dialectos de SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) mediante convertidores como pySigma o Sigma CLI. Una regla Sigma combina metadatos (id, nivel, mapeo a MITRE ATT&CK), un logsource (producto, servicio, categoria) y un bloque de deteccion con selectores y una condicion. El repositorio Sigma HQ aloja miles de reglas comunitarias para Windows Event Logs, Sysmon, auditoria Linux, AWS CloudTrail, Okta y mas, lo que facilita contenido de deteccion portatil y compartible.
● Ejemplos
- 01
Regla Sigma que detecta procesos hijos sospechosos de winword.exe para identificar malware basado en macros.
- 02
Convertir una regla Sigma con pySigma a KQL de Microsoft Sentinel para desplegar una analitica.
● Preguntas frecuentes
¿Qué es Regla Sigma?
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Regla Sigma?
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
¿Cómo funciona Regla Sigma?
Sigma es un formato abierto de ingenieria de detecciones creado por Florian Roth y Thomas Patzke que permite describir una regla basada en logs una sola vez y traducirla a multiples dialectos de SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) mediante convertidores como pySigma o Sigma CLI. Una regla Sigma combina metadatos (id, nivel, mapeo a MITRE ATT&CK), un logsource (producto, servicio, categoria) y un bloque de deteccion con selectores y una condicion. El repositorio Sigma HQ aloja miles de reglas comunitarias para Windows Event Logs, Sysmon, auditoria Linux, AWS CloudTrail, Okta y mas, lo que facilita contenido de deteccion portatil y compartible.
¿Cómo defenderse de Regla Sigma?
Las defensas contra Regla Sigma combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Regla Sigma?
Nombres alternativos comunes: Firma Sigma, Formato Sigma.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 1258
Regla YARA
Firma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
- forensics-ir№ 627
Análisis de registros
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
● Véase también
- № 886Pirámide del Dolor
- № 1124Sysmon