在右邊,妳可以看到壹個簡單的西格瑪規則,檢查“系統”事件日誌的線索,密碼轉儲活動。檢測部分包含1+個可由規則作者自由定義的標識符(選擇、關鍵字、quarkspwdump)。在條件condition中使用這些選擇器selectors來構建規則。
它還包含壹個描述,參考,可能的誤報和壹個等級。
分析人員使用Sigma為他們的SIEM或日誌管理解決方案生成搜索查詢。Sigma repo包含壹個轉換器,允許轉換通用規則ElasticSearch, Splunk, QRadar, Logpoint, Windows Defender ATP (WDATP)和ArcSight。
即將在7月底發布的SPARK 1.14版本就做到了這壹點。它將Sigma規則應用於本地事件日誌。這樣,您就能夠將您曾經為SIEM定義的搜索應用到本地事件日誌中。
通過這種方式,您可以“查詢”沒有連接到您的SIEM的獨立系統,並發現環境中其他常見的盲點。
我們提供了當前的規則集,它是公***Sigma庫的壹部分,並包含了超過200個規則與我們的SPARK程序包以加密的形式。(* .yms)
妳可以把妳自己的Sigma規則添加到"./custom-signatures/sigma/"文件夾在SPARK計劃目錄。
要激活Sigma掃描,請使用新的“-sigma”參數。
目前只有SPARK支持這個功能,沒有計劃在THOR中也實現。
該功能目前對所有用戶都是免費的,但可能會成為壹項收費功能,根據用戶的計劃,到今年年底必須另行授權。
有關所有特性的完整概述,請參見比較表。