Sigma

Aus IT-Forensik Wiki
Version vom 16. Juli 2021, 14:16 Uhr von St200059 (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Sigma ist ein generisches und offenes Format das Logeinträge beschreibt. Das Format der Regeln ist flexibel und einfach zu erstellen. Es passt zu jedem Typ von Logfiles. Was Snort für Netzwerkverkehr und Yara für Dateien ist, ist Sigma für Logeinträge. Das Ausnutzen von Schwachstellen in Software kann (sofern es in den Logs sichtbar ist) mit einer Sigma-Regel beschrieben werden. Das ermöglicht allen Betroffenen eine vergleichsweise einfache Analyse um zu prüfen ob ein Angriff erfolgreich war. Auch Malware auf Systemen kann auf diese Weise aufgespürt werden.


SANS Webcast on MITRE ATT&CK® and Sigma The SANS webcast on Sigma contains a very good 20 min introduction to the project by John Hubbart from minute 39 onward. (SANS account required; registration is free) https://www.sans.org/webcasts/mitre-att-ck-sigma-alerting-110010MITRE ATT&CK® and Sigma Alerting Webcast Recording