西格玛
SIEM系统的通用签名格式
什么是西格玛
Sigma是一种通用的开放签名格式,可让您以简单的方式描述相关的日志事件。 规则格式非常灵活,易于编写,并且适用于任何类型的日志文件。 该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可在其中描述他们曾经开发的检测方法并使它们与他人共享。
Sigma用于日志文件, 用于网络流量, 用于文件。
该存储库包含:
Sigma规则规范
./rules子文件夹中的sigma签名的开放存储库
位于./tools/子文件夹中的名为sigmac的转换器,可根据Sigma规则为不同的SIEM系统生成搜索查询
Hack.lu 2017演讲
在MITER ATT&CK:registered:和Sigma上进行SANS网络广播
Sigma上的SANS网络广播从第39分钟开始对John Hubbart的项目进行了非常好的20分钟介绍。 (需要SANS帐户;免费注册)
用例
在Sigma中描述您的检测方法以使其可共享
用Sigma编写SIEM搜索,以避免供应商锁定
在分析的附录中共享签名以及IOC和YARA规则
在威胁情报社区中共享签名-例如通过M