SigmaSIEM 系統(tǒng)的通用簽名格式

Sigma 是一種通用且開放的簽名格式，允許你以直接的方式描述相關(guān)的日志事件。規(guī)則格式非常靈活，易于編寫，適用于任何類型的日志文件。該項(xiàng)目的主要目的是提供一種結(jié)構(gòu)化的形式，研究人員或分析人員可以在其中描述他們?cè)?jīng)開發(fā)的檢測(cè)方法，并使其與他人共享。

用例：

• 在 Sigma 中描述你的檢測(cè)方法以使其可共享
• 在 Sigma 中編寫你的 SIEM 搜索以避免供應(yīng)商鎖定
• 在分析的附錄中分享簽名以及 IOC 和 YARA 規(guī)則
• 在威脅情報(bào)社區(qū)中共享簽名 - 例如通過(guò) MISP
• 為你自己的應(yīng)用程序中的惡意行為提供 Sigma 簽名