Как работает Sigma-формат для описания правил детектирования?

Sigma-формат — это унифицированный формат описания правил детектирования, основанных на данных из логов. habr.com Правила хранятся в отдельных YAML-файлах. habr.com support.kaspersky.com

Каждое правило можно условно разбить на три части: habr.com

1. Атрибуты, описывающие правило (метаинформация). habr.com Сюда входят, например, название правила, автор, дата, уникальный идентификатор, лицензия. dzen.ru
2. Атрибуты, описывающие источники данных. habr.com К ним относятся, в частности, категория, продукт, сервис, определение. habr.com
3. Атрибуты, описывающие условия срабатывания правила. habr.com Когда правило состоит из нескольких разделов, они могут быть связаны различными логическими операциями, такими как and, or, not. dzen.ru

Некоторые особенности работы формата:

• Создание коллекций правил. habr.com Такой подход удобен, когда есть несколько способов детектирования атаки и не хочется дублировать описательную часть. habr.com
• Использование файлов конфигурации. dzen.ru Они содержат сопоставление журналов и полей, используемых в среде, с полями, используемыми в правилах. dzen.ru
• Поддержка различных систем. dzen.ru Правила Sigma могут быть интегрированы в платформы SIEM и обнаруживать различные события по мере их возникновения. dzen.ru

Использование Sigma для написания правил обнаружения облегчает их совместное использование и интеграцию в организации, независимо от конкретных используемых инструментов и журналов. dzen.ru