Sigma — общий формат сигнатур для SIEM
Sigma — язык описания индикаторов компрометации для системных событий.
По мере популярности Sigma для логов должен стать тем же, что YARA для файлов и Snort для сетевого трафика.
Sigma-правило представляет собой YAML-файл определенной спецификации.
Официальный гайд по написанию Sigma-правил.
Создавать собственные правила можно на основе готовых, которые расположены здесь.
Правило для обнаружения Quarks PWDump, утилиты для сброса паролей. Отслеживаем журнал SysInternals Sysmon. Добавляем строку, которая соответствует полю ’TargetFileName’ в событиях Sysmon типа 11 [2].

Конвертер из Sigma в правила различных SIEM.
Модуль на Python: sigmatools
Дополнительно: