راهنمای قواعد sigma

sigma

در تعریفی کلی می توان گفت، زیگما (sigma) یک قالب مشترک برای نوشتن رول های راهکار SIEM است. هدف اصلی از ایجاد چنین قالبی، فراهم آوردن یک ساختار منسجم است به گونه ای که تحلیلگران حوزه امنیت سایبری با استفاده از آن،  بتوانند روش های تشخیص تهدیدات  را شرح داده و آن ها را با دیگران به اشتراک بگذارند. در بیانی ساده تر می توان گفت قالب زیگما می تواند به عنوان یک قالب و زبان مشترک برای تمامی  SIEM ها مورد استفاده قرار گیرد. رول های نوشته شده به زبان زیگما می توانند به رول SIEM های زیر ترجمه شوند:

  • Splunk
  • QRadar
  • ArcSight
  • Elasticsearch (Elastalert, Query strings, DSL, Watcher, & Kibana)
  • Logpoint

کاربردهای Sigma:

متخصصان شکار تهدید و تحلیلگران امنیت از Sigma برای آنالیز log ها و الگو های آن برای یافتن تهدیدات شناخته شده و ناشناخته استفاده می کنند. فرمت Sigma بسیار انعطاف پذیر است و به راحتی می توان قواعد آن را نوشت و بر تمام انواع log file ها اعمال کرد. در واقع، Sigma، تنها رویکرد Siem می باشد که از مکانیزم های یکسان یا بسیار مشابه در موقعیت های مختلف استفاده می کند. به عبارت دیگر، می توان Sigma را به عنوان یک استاندارد باز و در دسترس عموم تعریف کرد که با استفاده از آن، مکانیزم های تشخیص تهدید می توانند به راحتی توسط همگان تعریف، اشتراک گذاری و دریافت شود و از آن برای بهبود قابلیت های تشخیص تهدید تمام سازمان ها استفاده شود.

نمونه ای از رول های زیگما به شکل زیر است:

موارد استفاده رول های زیگما:

  • تعریف روش های تشخیص تهدید و ایجاد قابلیت دسترسی به آنها
  • استفاده از رول های زیگما در  SIEM های مختلف
  • استفاده از فرمت زیگما برای به اشتراک گذاری نشانه تهدید در سامانه های Threat Intelligence

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *