SigmaSIEM 系统的通用签名格式
Sigma 是一种通用且开放的签名格式,允许你以直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可以在其中描述他们曾经开发的检测方法,并使其与他人共享。
用例:
- 在 Sigma 中描述你的检测方法以使其可共享
- 在 Sigma 中编写你的 SIEM 搜索以避免供应商锁定
- 在分析的附录中分享签名以及 IOC 和 YARA 规则
- 在威胁情报社区中共享签名 - 例如通过 MISP
- 为你自己的应用程序中的恶意行为提供 Sigma 签名
评论