Regla Sigma
¿Qué es Regla Sigma?
Regla SigmaFirma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
Sigma es un formato abierto de ingenieria de detecciones creado por Florian Roth y Thomas Patzke que permite describir una regla basada en logs una sola vez y traducirla a multiples dialectos de SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) mediante convertidores como pySigma o Sigma CLI. Una regla Sigma combina metadatos (id, nivel, mapeo a MITRE ATT&CK), un logsource (producto, servicio, categoria) y un bloque de deteccion con selectores y una condicion. El repositorio Sigma HQ aloja miles de reglas comunitarias para Windows Event Logs, Sysmon, auditoria Linux, AWS CloudTrail, Okta y mas, lo que facilita contenido de deteccion portatil y compartible.
● Ejemplos
- 01
Regla Sigma que detecta procesos hijos sospechosos de winword.exe para identificar malware basado en macros.
- 02
Convertir una regla Sigma con pySigma a KQL de Microsoft Sentinel para desplegar una analitica.
● Preguntas frecuentes
¿Qué es Regla Sigma?
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Regla Sigma?
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
¿Cómo defenderse de Regla Sigma?
Las defensas contra Regla Sigma combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Regla Sigma?
Nombres alternativos comunes: Firma Sigma, Formato Sigma.