Regle Sigma
Qu'est-ce que Regle Sigma ?
Regle SigmaSignature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
Sigma est un format ouvert de detection engineering cree par Florian Roth et Thomas Patzke, qui permet de decrire une detection basee sur logs une seule fois puis de la traduire dans de nombreux dialectes SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) via des convertisseurs comme pySigma ou Sigma CLI. Une regle Sigma combine des metadonnees (id, niveau, mappage MITRE ATT&CK), une logsource (produit, service, categorie) et un bloc de detection avec des selecteurs et une condition. Le depot Sigma HQ heberge des milliers de regles communautaires couvrant Windows Event Logs, Sysmon, audit Linux, AWS CloudTrail, Okta, etc., pour un contenu de detection portable et partageable.
● Exemples
- 01
Regle Sigma detectant des processus enfants suspects de winword.exe pour reperer un malware base sur macro.
- 02
Convertir une regle Sigma avec pySigma vers du KQL Microsoft Sentinel pour deployer une regle analytique.
● Questions fréquentes
Qu'est-ce que Regle Sigma ?
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Regle Sigma ?
Signature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
Comment fonctionne Regle Sigma ?
Sigma est un format ouvert de detection engineering cree par Florian Roth et Thomas Patzke, qui permet de decrire une detection basee sur logs une seule fois puis de la traduire dans de nombreux dialectes SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) via des convertisseurs comme pySigma ou Sigma CLI. Une regle Sigma combine des metadonnees (id, niveau, mappage MITRE ATT&CK), une logsource (produit, service, categorie) et un bloc de detection avec des selecteurs et une condition. Le depot Sigma HQ heberge des milliers de regles communautaires couvrant Windows Event Logs, Sysmon, audit Linux, AWS CloudTrail, Okta, etc., pour un contenu de detection portable et partageable.
Comment se défendre contre Regle Sigma ?
Les défenses contre Regle Sigma combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Regle Sigma ?
Noms alternatifs courants : Signature Sigma, Format Sigma.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 1258
Regle YARA
Signature textuelle ecrite en langage YARA qui decrit des motifs d'octets, de chaines ou de comportements pour classer et detecter des echantillons de malware et des fichiers.
- forensics-ir№ 627
Analyse des journaux
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
● Voir aussi
- № 886Pyramid of Pain
- № 1124Sysmon