Правило Sigma
Что такое Правило Sigma?
Правило SigmaВендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
Sigma — это открытый формат detection engineering, созданный Florian Roth и Thomas Patzke, позволяющий описать детект на основе логов один раз и затем переводить его в множество SIEM-диалектов (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle и др.) с помощью конвертеров pySigma или Sigma CLI. Правило Sigma включает метаданные (id, уровень, привязку к MITRE ATT&CK), logsource (продукт, сервис, категория) и блок detection с селекторами и условием. Репозиторий Sigma HQ содержит тысячи правил сообщества по Windows Event Logs, Sysmon, аудит Linux, AWS CloudTrail, Okta и др., делая контент детектирования переносимым и удобным для обмена.
● Примеры
- 01
Правило Sigma, обнаруживающее подозрительные дочерние процессы winword.exe для выявления макровредоносов.
- 02
Конвертация правила Sigma через pySigma в KQL Microsoft Sentinel и развёртывание как analytics rule.
● Частые вопросы
Что такое Правило Sigma?
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR. Относится к категории Защита и операции в кибербезопасности.
Что означает Правило Sigma?
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
Как защититься от Правило Sigma?
Защита от Правило Sigma обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Правило Sigma?
Распространённые альтернативные названия: Сигнатура Sigma, Формат Sigma.