SigmaSIEM 系统的通用签名格式

联合创作 · 2023-09-29 23:49

Sigma 是一种通用且开放的签名格式,允许你以直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可以在其中描述他们曾经开发的检测方法,并使其与他人共享。

用例:

  • 在 Sigma 中描述你的检测方法以使其可共享
  • 在 Sigma 中编写你的 SIEM 搜索以避免供应商锁定
  • 在分析的附录中分享签名以及 IOC 和 YARA 规则
  • 在威胁情报社区中共享签名 - 例如通过 MISP
  • 为你自己的应用程序中的恶意行为提供 Sigma 签名

浏览 9
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报