Regle Sigma
Qu'est-ce que Regle Sigma ?
Regle SigmaSignature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
Sigma est un format ouvert de detection engineering cree par Florian Roth et Thomas Patzke, qui permet de decrire une detection basee sur logs une seule fois puis de la traduire dans de nombreux dialectes SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) via des convertisseurs comme pySigma ou Sigma CLI. Une regle Sigma combine des metadonnees (id, niveau, mappage MITRE ATT&CK), une logsource (produit, service, categorie) et un bloc de detection avec des selecteurs et une condition. Le depot Sigma HQ heberge des milliers de regles communautaires couvrant Windows Event Logs, Sysmon, audit Linux, AWS CloudTrail, Okta, etc., pour un contenu de detection portable et partageable.
● Exemples
- 01
Regle Sigma detectant des processus enfants suspects de winword.exe pour reperer un malware base sur macro.
- 02
Convertir une regle Sigma avec pySigma vers du KQL Microsoft Sentinel pour deployer une regle analytique.
● Questions fréquentes
Qu'est-ce que Regle Sigma ?
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Regle Sigma ?
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
Comment se défendre contre Regle Sigma ?
Les défenses contre Regle Sigma combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Regle Sigma ?
Noms alternatifs courants : Signature Sigma, Format Sigma.