检测-Sigma 泛型检测规则创建和管理,使用Sigma,通用的SIEM规则格式。Sigma为多个SIEM平台的日志分析提供厂商中立的检测逻辑。使用场景:(1) 创建安全监控的检测规则,(2) 将规则转换为不同SIEM平台(Splunk、Elastic、QRadar、Sentinel),(3) 使用标准化的检测模式进行威胁狩猎,(4) 构建检测即代码流水线,(5) 将检测映射到MITRE ATT&CK战术,(6) 实施基于合规性的监控规则。 维护者:SirAppSec 类别:事件响应 标签:[sigma, 检测, siem, 威胁狩猎, mitre-攻击, 检测工程, 日志分析] 框架:[MITRE-ATT&CK, NIST, ISO27001] 依赖:
- python: “>=3.8”
- 包:[pysigma, pysigma-backend-splunk, pysigma-backend-elasticsearch, pyyaml] 参考:
- https://github.com/SigmaHQ/sigma
- https://github.com/SigmaHQ/pySigma
- https://sigmahq.io/