Все, что вы хотели знать о Sigma-правилах. Часть 2
Эта статья является продолжением нашего цикла материалов, посвященных описанию формата Sigma-правил. Кратко напомним структуру цикла. В предыдущей публикации мы привели пример простого правила и подробно рассмотрели секцию описания источников событий. Теперь у нас есть общие представления о структуре правил, а также мы умеем указывать, откуда и какую информацию необходимо поставлять в правило для выявления подозрительной активности.
Теперь необходимо научиться описывать логику, которая будет оперировать полученными данными и выдавать вердикт о том, сработает ли наше правило в той или иной ситуации. Именно этой секции правила и ее особенностям посвящена данная статья. Описание секции логики детектирования — это наиболее важная часть синтаксиса, знание которой необходимо для понимания существующих правил и написания собственных.
В следующей публикации мы подробно остановимся на описании метаинформации (атрибуты, которые имеют информативный или инфраструктурный характер, такие, например, как описание или идентификатор) и коллекций правил. Следите за нашими публикациями! Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Захват аккаунта без единого клика с помощью параметра сброса пароля
- Мультивселенная киберполигонов в РФ: часть 3. Интервью со специалистами платформы Standoff 365
- 300 млн за квартал, 1,4 млрд за 2026 год: сколько бюджет РФ потеряет из-за запрета на рекламу в Instagram*
- Топологическая безопасность ECDSA: Динамические методы анализа и теоретические основы
- Kaspersky NGFW: тестирование фаервола в разрезе ИБ
- Туннель в никуда: как ngrok помогает обойти периметр и как это остановить
- Строим корпоративную GenAI-платформу: от концепции до ROI. Часть 4. Безопасность и ограничения (guardrails)
- SkyCapital: Вьетнам запускает пилотный проект блокчейн-платежей для туристов в Дананге
- ГОСТ 57580 без головной боли: инструкция по автоматической оценке и отчетности
- Исследование i-Media: как бренды выбирают агентства