用于SIEM系统的通用签名格式

一、什么是sigma

Sigma是一种通用的开放签名格式，允许您以一种直接的方式描述相关的日志事件。规则格式非常灵活，易于编写，适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式，在这种结构中，研究人员或分析人员可以描述他们曾经开发的检测方法，并使其与他人共享。

Sigma用于日志文件，就像Snort用于网络流量，YARA用于文件一样。

这个库包含:

（1）Wiki中的Sigma规则规范

（2）./rulessubfolder中n个sigma签名存储库

（3）为不同SIEM系统生成搜索/查询的转换器[正在进行中]

二、用例

描述你在Sigma中的检测方法，使其可共享

使用Sigma编写SIEM搜索，以避免供应商锁定

与IOCs和YARA规则一起在分析的附录中共享签名

在威胁情报社区共享签名-例如通过MISP

为您自己的应用程序中的恶意行为提供Sigma签名

三、为什么Sigma

今天，每个人都收集日志数据进行分析。人们开始自己动手，处理大量白皮书、博客文章和日志分析指南，提取必要的信息，构建自己的搜索和仪表板。他们的一些搜索和关联是伟大的，非常有用，但他们缺乏一个标准化的格式，他们可以与他人分享他们的工作。

其他一些则提供了出色的分析，包括IOCs和YARA规则来检测恶意文件和网络连接，但无法描述日志事件中的特定或通用检测方法。西格玛应该是一个开放的标准，这样的检测机制可以被定义，共享和收集，以提高每个人的检测能力。