Sigma是一种通用且开放的签名格式,允许你以直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。该项目的主要目的是提供一种结构化的形式,研究人员或分析人员可以在其中描述他们曾经开发的检测方法,并使其与他人共享。
用例:
在Sigma中描述你的检测方法以使其可共享在Sigma中编写你的SIEM搜索以避免供应商锁定在分析的附录中分享签名以及IOC和YARA规则在威胁情报社区中共享签名-例如通过MISP为你自己的应用程序中的恶意行为提供Sigma签名
点击空白处退出提示
评论