liminfo

Sigma Rules Reference

Sigma 탐지 규칙 레퍼런스

26개 결과

Sigma Rules Reference 소개

Sigma 룰 레퍼런스는 SIEM 플랫폼 전반에서 사용되는 Sigma 탐지 규칙 언어의 전체 구문을 검색 가능한 치트 시트로 제공합니다. Windows, Linux, 프록시, 방화벽, DNS 로그소스 정의부터 탐지 선택/필터 로직, 조건 연산자, contains/endswith/startswith/re/base64/all 등의 값 수정자, 시간 프레임 기반 집계 함수까지 포괄합니다.

Sigma 규칙을 Splunk SPL, Elasticsearch Lucene/DSL 쿼리, QRadar AQL 문으로 변환하는 sigma-cli 명령어 예제도 함께 다룹니다. 보안 분석가가 AND/OR 논리로 선택 조건을 조합하거나, "1 of selection*" 패턴 매칭 조건을 적용하거나, 필드별 그룹화 카운트 집계를 사용하는 방법을 빠르게 찾을 수 있습니다.

SOC 분석가, 위협 헌터, 탐지 엔지니어, 보안 연구자를 위해 설계된 이 도구는 카테고리별 필터링이 가능하며, 서버 처리 없이 브라우저에서 모든 콘텐츠를 탐색할 수 있습니다.

주요 기능

  • Windows, Linux, 프록시, 방화벽, DNS 이벤트 카테고리별 로그소스 정의
  • selection, filter, keywords, OR 조합을 활용한 탐지 로직 예제
  • "all of them", "1 of them", NOT, 와일드카드 패턴 매칭 등 조건 연산자
  • contains, endswith, startswith, re, base64, all 등 값 수정자 레퍼런스
  • count(), count(field) by, timeframe 설정을 포함한 집계 함수
  • Splunk, Elasticsearch, QRadar 대상 sigma-cli 변환 명령어 예제
  • 로그소스, 탐지, 조건, 수정자, 집계, 변환 카테고리별 필터링 지원
  • 다크 모드 지원, 데스크톱/태블릿/모바일 반응형, 완전 클라이언트 사이드 처리

자주 묻는 질문

Sigma 규칙 언어란 무엇인가요?

Sigma는 SIEM 시스템을 위한 범용 오픈소스 탐지 서명 형식입니다. 탐지 규칙을 한 번 작성하면 sigma-cli 또는 pySigma 백엔드를 통해 Splunk, Elasticsearch, QRadar, Microsoft Sentinel 등 다양한 SIEM 플랫폼의 쿼리로 변환할 수 있습니다.

Sigma 규칙에서 로그소스를 어떻게 정의하나요?

logsource 블록에서 product(windows, linux 등), service(security, syslog 등), category(process_creation, proxy 등)를 지정합니다. 이 레퍼런스에는 Windows 이벤트 로그, Linux syslog, 프록시/웹 필터, 방화벽 트래픽, DNS 쿼리용 로그소스 템플릿이 포함되어 있습니다.

Sigma 탐지에서 selection과 filter의 차이는 무엇인가요?

selection은 탐지하려는 긍정적 매칭 조건을 정의하고, filter는 제외 조건을 정의합니다. condition 블록에서 "selection and not filter"와 같이 조합하여 오탐을 줄이면서 실제 위협을 탐지합니다.

Sigma 값 수정자는 어떻게 사용하나요?

필드명 뒤에 파이프(|) 문자로 수정자를 연결합니다. CommandLine|contains는 부분 문자열 매칭, Image|endswith는 파일 경로 끝 매칭, |re는 정규식, |base64는 인코딩된 값 탐지, |contains|all은 나열된 모든 값이 필드에 존재해야 매칭됩니다.

"1 of selection*"은 Sigma 조건에서 어떤 의미인가요?

"1 of selection*"은 와일드카드 패턴 매칭으로 여러 선택 조건을 조합합니다. "selection"으로 시작하는 이름의 선택 조건 중 하나라도 매칭되면 트리거됩니다. "all of them"은 정의된 모든 선택 조건이 동시에 매칭되어야 합니다.

Sigma 규칙에서 집계와 시간 프레임은 어떻게 사용하나요?

"selection | count() > 10"과 timeframe "5m" 같은 집계 조건은 시간 윈도우 내에서 임계값을 초과하는 이벤트를 탐지합니다. "count(TargetUserName) by SourceIP > 5"처럼 필드별 그룹화도 가능하여 소스 IP별 무차별 대입 패턴을 탐지할 수 있습니다.

Sigma 규칙을 Splunk나 Elasticsearch 쿼리로 어떻게 변환하나요?

sigma-cli에 적절한 대상 백엔드를 지정합니다. Splunk SPL은 "sigma convert -t splunk -p sysmon rule.yml", Elasticsearch Lucene은 "sigma convert -t lucene rule.yml", Elasticsearch DSL은 "sigma convert -t elasticsearch-dsl rule.yml"을 사용합니다.

이 Sigma 레퍼런스는 무료로 사용할 수 있나요?

네, 이 Sigma 룰 레퍼런스는 계정 없이 완전 무료로 사용할 수 있습니다. 브라우저에서 모든 동작이 처리되므로 어떤 규칙 데이터도 서버로 전송되지 않습니다. liminfo.com의 무료 개발자 및 보안 도구 모음에 포함되어 있습니다.