用于SIEM系统的通用签名格式

一、什么是sigma

Sigma是一种通用的开放签名格式,允许您以一种直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式,在这种结构中,研究人员或分析人员可以描述他们曾经开发的检测方法,并使其与他人共享。

Sigma用于日志文件,就像Snort用于网络流量,YARA用于文件一样。

这个库包含:

(1)Wiki中的Sigma规则规范

(2)./rulessubfolder中n个sigma签名存储库

(3)为不同SIEM系统生成搜索/查询的转换器[正在进行中]

二、用例

描述你在Sigma中的检测方法,使其可共享

使用Sigma编写SIEM搜索,以避免供应商锁定

与IOCs和YARA规则一起在分析的附录中共享签名

在威胁情报社区共享签名-例如通过MISP

为您自己的应用程序中的恶意行为提供Sigma签名

三、为什么Sigma

今天,每个人都收集日志数据进行分析。人们开始自己动手,处理大量白皮书、博客文章和日志分析指南,提取必要的信息,构建自己的搜索和仪表板。他们的一些搜索和关联是伟大的,非常有用,但他们缺乏一个标准化的格式,他们可以与他人分享他们的工作。

其他一些则提供了出色的分析,包括IOCs和YARA规则来检测恶意文件和网络连接,但无法描述日志事件中的特定或通用检测方法。西格玛应该是一个开放的标准,这样的检测机制可以被定义,共享和收集,以提高每个人的检测能力。

来源:https://github.com/Neo23x0/sigma