Sigma-формат — это унифицированный формат описания правил детектирования, основанных на данных из логов. 2 Правила хранятся в отдельных YAML-файлах. 24

Каждое правило можно условно разбить на три части: 2

1. Атрибуты, описывающие правило (метаинформация). 2 Сюда входят, например, название правила, автор, дата, уникальный идентификатор, лицензия. 1
2. Атрибуты, описывающие источники данных. 2 К ним относятся, в частности, категория, продукт, сервис, определение. 2
3. Атрибуты, описывающие условия срабатывания правила. 2 Когда правило состоит из нескольких разделов, они могут быть связаны различными логическими операциями, такими как and, or, not. 1

Некоторые особенности работы формата:

• Создание коллекций правил. 2 Такой подход удобен, когда есть несколько способов детектирования атаки и не хочется дублировать описательную часть. 2
• Использование файлов конфигурации. 1 Они содержат сопоставление журналов и полей, используемых в среде, с полями, используемыми в правилах. 1
• Поддержка различных систем. 1 Правила Sigma могут быть интегрированы в платформы SIEM и обнаруживать различные события по мере их возникновения. 1

Использование Sigma для написания правил обнаружения облегчает их совместное использование и интеграцию в организации, независимо от конкретных используемых инструментов и журналов. 1