Правило Sigma
Что такое Правило Sigma?
Правило SigmaВендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
Sigma — это открытый формат detection engineering, созданный Florian Roth и Thomas Patzke, позволяющий описать детект на основе логов один раз и затем переводить его в множество SIEM-диалектов (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle и др.) с помощью конвертеров pySigma или Sigma CLI. Правило Sigma включает метаданные (id, уровень, привязку к MITRE ATT&CK), logsource (продукт, сервис, категория) и блок detection с селекторами и условием. Репозиторий Sigma HQ содержит тысячи правил сообщества по Windows Event Logs, Sysmon, аудит Linux, AWS CloudTrail, Okta и др., делая контент детектирования переносимым и удобным для обмена.
● Примеры
- 01
Правило Sigma, обнаруживающее подозрительные дочерние процессы winword.exe для выявления макровредоносов.
- 02
Конвертация правила Sigma через pySigma в KQL Microsoft Sentinel и развёртывание как analytics rule.
● Частые вопросы
Что такое Правило Sigma?
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR. Относится к категории Защита и операции в кибербезопасности.
Что означает Правило Sigma?
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
Как работает Правило Sigma?
Sigma — это открытый формат detection engineering, созданный Florian Roth и Thomas Patzke, позволяющий описать детект на основе логов один раз и затем переводить его в множество SIEM-диалектов (Splunk SPL, Elastic ESQL, Microsoft Sentinel KQL, Chronicle и др.) с помощью конвертеров pySigma или Sigma CLI. Правило Sigma включает метаданные (id, уровень, привязку к MITRE ATT&CK), logsource (продукт, сервис, категория) и блок detection с селекторами и условием. Репозиторий Sigma HQ содержит тысячи правил сообщества по Windows Event Logs, Sysmon, аудит Linux, AWS CloudTrail, Okta и др., делая контент детектирования переносимым и удобным для обмена.
Как защититься от Правило Sigma?
Защита от Правило Sigma обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Правило Sigma?
Распространённые альтернативные названия: Сигнатура Sigma, Формат Sigma.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 1258
Правило YARA
Текстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
- forensics-ir№ 627
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
● См. также
- № 886Pyramid of Pain
- № 1124Sysmon