Entry № 1158
Sigma 规则
Sigma 规则 是什么?
Sigma 规则面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
Sigma 是 Florian Roth 与 Thomas Patzke 提出的开放检测工程格式,允许分析师只描述一次基于日志的检测,再通过 pySigma 或 Sigma CLI 等转换器将其翻译为多种 SIEM 方言(Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle 等)。一条 Sigma 规则由元数据(id、级别、MITRE ATT&CK 映射)、logsource(产品、服务、类别)以及包含选择器与条件的检测块组成。Sigma HQ 仓库收录了涵盖 Windows 事件日志、Sysmon、Linux 审计、AWS CloudTrail、Okta 等数千条社区规则,可在团队和厂商之间共享便携式的检测内容。
● 示例
- 01
一条用于检测 winword.exe 可疑子进程的 Sigma 规则,以发现宏类恶意软件。
- 02
通过 pySigma 将 Sigma 规则转换为 Microsoft Sentinel 的 KQL,部署为分析规则。
● 常见问题
Sigma 规则 是什么?
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。 它属于网络安全的 防御与运营 分类。
Sigma 规则 是什么意思?
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
如何防御 Sigma 规则?
针对 Sigma 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
Sigma 规则 还有哪些其他名称?
常见的别称包括: Sigma 签名, Sigma 格式。