蒂玛
Tigma是一个完全兼容的库,用于在JS环境(浏览器或节点)中加载,解析和验证Sigma规则。 通过开放支持Javascript的新平台(几乎所有平台),这使Sigma可以走得更远。
该库符合原始的Sigma语言规范,并且没有任何自定义(至少目前如此)。
它是如何工作的?
它的核心是将Sigma Rule转换为Identifier对象的抽象语法树(AST),这使得实现后端更加容易。
目前,唯一可用的后端是“ Sigma JSON扫描仪”,这是开发此库的主要原因。
评估
Tigma在后台使用了惰性评估,这意味着在匹配第一个条件时写入条件(例如“其中1个”)将返回true,而无需评估其余条件。
Tigma:使用Sigma增强DFIR
如您所知,Sigma是一种面向SIEM的语言,易于读取/编写和共享,这使其在短时间内获得了很高的采用率。 很好,但是扫描完整的JSON文件(例如在特
评论0
最新资源