Sigma ルール
Sigma ルール とは何ですか?
Sigma ルールベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
Sigma は Florian Roth と Thomas Patzke が考案したオープンな検知エンジニアリング フォーマットで、ログ ベースの検知を 1 度だけ記述し、pySigma や Sigma CLI などのコンバーターで Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle など多くの SIEM 方言へ翻訳できます。Sigma ルールは、メタデータ (id、レベル、MITRE ATT&CK マッピング)、logsource (製品、サービス、カテゴリー)、セレクターと条件からなる検知ブロックで構成されます。Sigma HQ リポジトリには Windows イベント ログ、Sysmon、Linux 監査、AWS CloudTrail、Okta などを対象とする数千のコミュニティ ルールが収録され、可搬で共有可能な検知コンテンツを実現します。
● 例
- 01
winword.exe の不審な子プロセスを検出してマクロ系マルウェアを発見する Sigma ルール。
- 02
pySigma で Sigma ルールを Microsoft Sentinel の KQL に変換し、アナリティクス ルールとして展開する。
● よくある質問
Sigma ルール とは何ですか?
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Sigma ルール とはどういう意味ですか?
ベンダー非依存の YAML 形式ログ検知シグネチャで、SIEM、EDR、XDR のバックエンド クエリーに変換できる。
Sigma ルール はどのように機能しますか?
Sigma は Florian Roth と Thomas Patzke が考案したオープンな検知エンジニアリング フォーマットで、ログ ベースの検知を 1 度だけ記述し、pySigma や Sigma CLI などのコンバーターで Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle など多くの SIEM 方言へ翻訳できます。Sigma ルールは、メタデータ (id、レベル、MITRE ATT&CK マッピング)、logsource (製品、サービス、カテゴリー)、セレクターと条件からなる検知ブロックで構成されます。Sigma HQ リポジトリには Windows イベント ログ、Sysmon、Linux 監査、AWS CloudTrail、Okta などを対象とする数千のコミュニティ ルールが収録され、可搬で共有可能な検知コンテンツを実現します。
Sigma ルール からどのように防御しますか?
Sigma ルール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Sigma ルール の別名は何ですか?
一般的な別名: Sigma シグネチャ, Sigma フォーマット。
● 関連用語
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- defense-ops№ 1258
YARA ルール
YARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
- forensics-ir№ 627
ログ解析
システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
● 関連項目
- № 886Pyramid of Pain(痛みのピラミッド)
- № 1124Sysmon