<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Sigma on Tarragon</title><link>https://tarrragon.github.io/blog/tags/sigma/</link><description>Recent content in Sigma on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/sigma/index.xml" rel="self" type="application/rss+xml"/><item><title>Sigma：偵測規則生命週期素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</guid><description>&lt;p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation&lt;/a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。&lt;a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation&lt;/a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>規則需要 logsource&lt;/td>
 &lt;td>7.B2 的 signal 要標明來源系統&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 condition&lt;/td>
 &lt;td>偵測邏輯要可 review、可測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 falsepositives&lt;/td>
 &lt;td>誤報情境要進 triage 與調校流程&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 level&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity&lt;/a> 與 escalation 可接到 08&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。&lt;/p></description><content:encoded><![CDATA[<p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation</a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。<a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation</a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>規則需要 logsource</td>
          <td>7.B2 的 signal 要標明來源系統</td>
      </tr>
      <tr>
          <td>規則需要 condition</td>
          <td>偵測邏輯要可 review、可測試</td>
      </tr>
      <tr>
          <td>規則需要 falsepositives</td>
          <td>誤報情境要進 triage 與調校流程</td>
      </tr>
      <tr>
          <td>規則需要 level</td>
          <td><a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity</a> 與 escalation 可接到 08</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。</p>
<h2 id="引用限制">引用限制</h2>
<p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。</p>
]]></content:encoded></item></channel></rss>