راهنمای قواعد سیگما

در تعریفی کلی می توان گفت، سیگما (sigma) یک قالب مشترک برای نوشتن رول های راهکار SIEM است.

در تعریفی کلی می توان گفت، سیگما (sigma) یک قالب مشترک برای نوشتن رول های راهکار SIEM است. هدف اصلی از ایجاد چنین قالبی، فراهم آوردن یک ساختار منسجم است به گونه ای که تحلیلگران حوزه امنیت سایبری با استفاده از آن،  بتوانند روش های تشخیص تهدیدات  را شرح داده و آن ها را با دیگران به اشتراک بگذارند. در بیانی ساده تر می توان گفت قالب سیگما می تواند به عنوان یک قالب و زبان مشترک برای تمامی  SIEM ها مورد استفاده قرار گیرد. رول های نوشته شده به زبان سیگما می توانند به رول SIEM های زیر ترجمه شوند:

  • Splunk
  • QRadar
  • ArcSight
  • Elasticsearch (Elastalert, Query strings, DSL, Watcher, & Kibana)
  • Logpoint

کاربردهای سیگما

متخصصان شکار تهدید و تحلیلگران امنیت از Sigma برای آنالیز log ها و الگو های آن برای یافتن تهدیدات شناخته شده و ناشناخته استفاده می کنند. فرمت Sigma بسیار انعطاف پذیر است و به راحتی می توان قواعد آن را نوشت و بر تمام انواع log file ها اعمال کرد. در واقع، Sigma، تنها رویکرد Siem می باشد که از مکانیزم های یکسان یا بسیار مشابه در موقعیت های مختلف استفاده می کند. به عبارت دیگر، می توان Sigma را به عنوان یک استاندارد باز و در دسترس عموم تعریف کرد که با استفاده از آن، مکانیزم های تشخیص تهدید می توانند به راحتی توسط همگان تعریف، اشتراک گذاری و دریافت شود و از آن برای بهبود قابلیت های تشخیص تهدید تمام سازمان ها استفاده شود.

نمونه ای از رول های زیگما به شکل زیر است:

موارد استفاده رول های سیگما:

  • تعریف روش های تشخیص تهدید و ایجاد قابلیت دسترسی به آنها
  • ستفاده از رول های سیگما در  SIEM های مختلف
  • استفاده از فرمت سیگما برای به اشتراک گذاری نشانه تهدید در سامانه های Threat Intelligence