Sigma — язык описания индикаторов компрометации для системных событий.

По мере популярности Sigma для логов должен стать тем же, что YARA для файлов и Snort для сетевого трафика.

Sigma-правило представляет собой YAML-файл определенной спецификации.

Официальный гайд по написанию Sigma-правил.

Создавать собственные правила можно на основе готовых, которые расположены здесь.

Правило для обнаружения Quarks PWDump, утилиты для сброса паролей. Отслеживаем журнал SysInternals Sysmon. Добавляем строку, которая соответствует полю ’TargetFileName’ в событиях Sysmon типа 11 [2].

Конвертер из Sigma в правила различных SIEM.

Модуль на Python: sigmatools

Дополнительно:

1. Sigma rules. Поделка или новый стандарт для SOC
2. How to Write Sigma Rules
3. Про Sigma-правила