Sigma 规则
Sigma 规则 是什么?
Sigma 规则面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
Sigma 是 Florian Roth 与 Thomas Patzke 提出的开放检测工程格式,允许分析师只描述一次基于日志的检测,再通过 pySigma 或 Sigma CLI 等转换器将其翻译为多种 SIEM 方言(Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle 等)。一条 Sigma 规则由元数据(id、级别、MITRE ATT&CK 映射)、logsource(产品、服务、类别)以及包含选择器与条件的检测块组成。Sigma HQ 仓库收录了涵盖 Windows 事件日志、Sysmon、Linux 审计、AWS CloudTrail、Okta 等数千条社区规则,可在团队和厂商之间共享便携式的检测内容。
● 示例
- 01
一条用于检测 winword.exe 可疑子进程的 Sigma 规则,以发现宏类恶意软件。
- 02
通过 pySigma 将 Sigma 规则转换为 Microsoft Sentinel 的 KQL,部署为分析规则。
● 常见问题
Sigma 规则 是什么?
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。 它属于网络安全的 防御与运营 分类。
Sigma 规则 是什么意思?
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
Sigma 规则 是如何工作的?
Sigma 是 Florian Roth 与 Thomas Patzke 提出的开放检测工程格式,允许分析师只描述一次基于日志的检测,再通过 pySigma 或 Sigma CLI 等转换器将其翻译为多种 SIEM 方言(Splunk SPL、Elastic ESQL、Microsoft Sentinel KQL、Chronicle 等)。一条 Sigma 规则由元数据(id、级别、MITRE ATT&CK 映射)、logsource(产品、服务、类别)以及包含选择器与条件的检测块组成。Sigma HQ 仓库收录了涵盖 Windows 事件日志、Sysmon、Linux 审计、AWS CloudTrail、Okta 等数千条社区规则,可在团队和厂商之间共享便携式的检测内容。
如何防御 Sigma 规则?
针对 Sigma 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
Sigma 规则 还有哪些其他名称?
常见的别称包括: Sigma 签名, Sigma 格式。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 1258
YARA 规则
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
- forensics-ir№ 627
日志分析
对系统、应用和安全日志进行系统化审查,以检测、调查和重建与安全相关的事件。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。