用于SIEM系统的通用签名格式
一、什么是sigma
Sigma是一种通用的开放签名格式,允许您以一种直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式,在这种结构中,研究人员或分析人员可以描述他们曾经开发的检测方法,并使其与他人共享。
Sigma用于日志文件,就像Snort用于网络流量,YARA用于文件一样。
这个库包含:
(1)Wiki中的Sigma规则规范
(2)./rulessubfolder中n个sigma签名存储库
(3)为不同SIEM系统生成搜索/查询的转换器[正在进行中]
二、用例
描述你在Sigma中的检测方法,使其可共享
使用Sigma编写SIEM搜索,以避免供应商锁定
与IOCs和YARA规则一起在分析的附录中共享签名
在威胁情报社区共享签名-例如通过MISP
为您自己的应用程序中的恶意行为提供Sigma签名
三、为什么Sigma
今天,每个人都收集日志数据进行分析。人们开始自己动手,处理大量白皮书、博客文章和日志分析指南,提取必要的信息,构建自己的搜索和仪表板。他们的一些搜索和关联是伟大的,非常有用,但他们缺乏一个标准化的格式,他们可以与他人分享他们的工作。
其他一些则提供了出色的分析,包括IOCs和YARA规则来检测恶意文件和网络连接,但无法描述日志事件中的特定或通用检测方法。西格玛应该是一个开放的标准,这样的检测机制可以被定义,共享和收集,以提高每个人的检测能力。