[정의]
- YAML 문법을 이용하여 보안과 관련된 이벤트를 표현하기 위한 규칙의 집합
- 다양한 형식을 가진 로그에 적용하여 보안 관련 이벤트 식별하는데 사용
- SIEM 벤더나 플랫폼마다 보안 이벤트 탐지에 사용되는 규칙 호환 함
[시그마 룰 포멧]
[룰 예시]
- 실행된 프로세스 이미지 경로가 "\cmd.exe"로 끝나는 경우 탐지
- 공격자가 경로 변경을 한 후 실행했어도 파일명 변경 안할 시 탐지 가능
- 'Net.WebClient', 'DownloadFile', 'DownloadString', 'Invoke-WebRequest' : 해당 명령어들은 축약어가 사용 가능해 강력한 명령어들 이다.
- 시스템 관리자 계정 사용한 내역은 제외 하므로서 오탐률을 줄인다.
'보안 > 보안 개념' 카테고리의 다른 글
| 한컴 오피스 문서 포스트스크립트 실행 이벤트 탐지 (0) | 2026.05.27 |
|---|---|
| LOL 바이너리 (0) | 2026.05.26 |
| SYSMON (0) | 2026.05.26 |
| 파일 업로드 취약점 대응 방안(보안코딩) (0) | 2026.05.26 |
| 웹 쉘을 이용한 파일 업로드 취약점 (0) | 2026.05.22 |