Sigma: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „[https://github.com/SigmaHQ/sigma Sigma] ist ein generisches und offenes Format das Logeinträge beschreibt. Das Format der Regeln ist flexibel und einfach zu…“)
 
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
[https://github.com/SigmaHQ/sigma Sigma] ist ein generisches und offenes Format das Logeinträge beschreibt. Das Format der Regeln ist flexibel und einfach zu erstellen. Es passt zu jedem Typ von Logfiles. Was Snort für Netzwerkverkehr und Yara für Dateien ist, ist Sigma für Logeinträge. Das Ausnutzen von Schwachstellen in Software kann (sofern es in den Logs sichtbar ist) mit einer Sigma-Regel beschrieben werden. Das ermöglicht allen Betroffenen eine vergleichsweise einfache Analyse um zu Prüfen ob ein Angriff erfolgreich war. Auch Malware auf Systemen kann auf diese Weise aufgespürt werden.
[https://github.com/SigmaHQ/sigma Sigma] ist ein generisches und offenes Format das Logeinträge beschreibt. Das Format der Regeln ist flexibel und einfach zu erstellen. Es passt zu jedem Typ von Logfiles. Was Snort für Netzwerkverkehr und Yara für Dateien ist, ist Sigma für Logeinträge. Das Ausnutzen von Schwachstellen in Software kann (sofern es in den Logs sichtbar ist) mit einer Sigma-Regel beschrieben werden. Das ermöglicht allen Betroffenen eine vergleichsweise einfache Analyse um zu prüfen ob ein Angriff erfolgreich war. Auch Malware auf Systemen kann auf diese Weise aufgespürt werden.





Aktuelle Version vom 16. Juli 2021, 14:16 Uhr

Sigma ist ein generisches und offenes Format das Logeinträge beschreibt. Das Format der Regeln ist flexibel und einfach zu erstellen. Es passt zu jedem Typ von Logfiles. Was Snort für Netzwerkverkehr und Yara für Dateien ist, ist Sigma für Logeinträge. Das Ausnutzen von Schwachstellen in Software kann (sofern es in den Logs sichtbar ist) mit einer Sigma-Regel beschrieben werden. Das ermöglicht allen Betroffenen eine vergleichsweise einfache Analyse um zu prüfen ob ein Angriff erfolgreich war. Auch Malware auf Systemen kann auf diese Weise aufgespürt werden.


SANS Webcast on MITRE ATT&CK® and Sigma The SANS webcast on Sigma contains a very good 20 min introduction to the project by John Hubbart from minute 39 onward. (SANS account required; registration is free) https://www.sans.org/webcasts/mitre-att-ck-sigma-alerting-110010MITRE ATT&CK® and Sigma Alerting Webcast Recording