Regra Sigma
O que é Regra Sigma?
Regra SigmaAssinatura de deteccao agnostica de fornecedor, em YAML, voltada a eventos de log que pode ser convertida em queries de SIEM, EDR ou XDR.
Sigma e um formato aberto de detection engineering criado por Florian Roth e Thomas Patzke, que permite descrever uma deteccao baseada em logs uma unica vez e traduzi-la para varios dialetos de SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) usando conversores como pySigma ou Sigma CLI. Uma regra Sigma combina metadados (id, nivel, mapeamento MITRE ATT&CK), uma logsource (produto, servico, categoria) e um bloco de deteccao com seletores e condicao. O repositorio Sigma HQ hospeda milhares de regras da comunidade cobrindo Windows Event Logs, Sysmon, audit Linux, AWS CloudTrail, Okta e mais, viabilizando conteudo de deteccao portatil e compartilhavel.
● Exemplos
- 01
Regra Sigma que detecta processos filhos suspeitos do winword.exe para flagrar malware baseado em macros.
- 02
Converter uma regra Sigma via pySigma para KQL do Microsoft Sentinel e implantar como analytics rule.
● Perguntas frequentes
O que é Regra Sigma?
Assinatura de deteccao agnostica de fornecedor, em YAML, voltada a eventos de log que pode ser convertida em queries de SIEM, EDR ou XDR. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Regra Sigma?
Assinatura de deteccao agnostica de fornecedor, em YAML, voltada a eventos de log que pode ser convertida em queries de SIEM, EDR ou XDR.
Como funciona Regra Sigma?
Sigma e um formato aberto de detection engineering criado por Florian Roth e Thomas Patzke, que permite descrever uma deteccao baseada em logs uma unica vez e traduzi-la para varios dialetos de SIEM (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle, etc.) usando conversores como pySigma ou Sigma CLI. Uma regra Sigma combina metadados (id, nivel, mapeamento MITRE ATT&CK), uma logsource (produto, servico, categoria) e um bloco de deteccao com seletores e condicao. O repositorio Sigma HQ hospeda milhares de regras da comunidade cobrindo Windows Event Logs, Sysmon, audit Linux, AWS CloudTrail, Okta e mais, viabilizando conteudo de deteccao portatil e compartilhavel.
Como se defender contra Regra Sigma?
As defesas contra Regra Sigma costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Regra Sigma?
Nomes alternativos comuns: Assinatura Sigma, Formato Sigma.
● Termos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- defense-ops№ 1258
Regra YARA
Assinatura textual em linguagem YARA que descreve padroes de bytes, strings ou comportamento para classificar e detectar amostras de malware e arquivos.
- forensics-ir№ 627
Análise de registos
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
● Veja também
- № 886Pirâmide da Dor (Pyramid of Pain)
- № 1124Sysmon