Sigma ルール
Sigma ルール とは何ですか?
Sigma ルールベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
Sigma は Florian Roth と Thomas Patzke が考案したオープンな検知エンジニアリング フォーマットで、ログ ベースの検知を 1 度だけ記述し、pySigma や Sigma CLI などのコンバーターで Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle など多くの SIEM 方言へ翻訳できます。Sigma ルールは、メタデータ (id、レベル、MITRE ATT&CK マッピング)、logsource (製品、サービス、カテゴリー)、セレクターと条件からなる検知ブロックで構成されます。Sigma HQ リポジトリには Windows イベント ログ、Sysmon、Linux 監査、AWS CloudTrail、Okta などを対象とする数千のコミュニティ ルールが収録され、可搬で共有可能な検知コンテンツを実現します。
● 例
- 01
winword.exe の不審な子プロセスを検出してマクロ系マルウェアを発見する Sigma ルール。
- 02
pySigma で Sigma ルールを Microsoft Sentinel の KQL に変換し、アナリティクス ルールとして展開する。
● よくある質問
Sigma ルール とは何ですか?
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Sigma ルール とはどういう意味ですか?
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
Sigma ルール からどのように防御しますか?
Sigma ルール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Sigma ルール の別名は何ですか?
一般的な別名: Sigma シグネチャ, Sigma フォーマット。