Défense
Sigma et YARA
Sigma et YARA sont deux approches de détection. Sigma décrit des comportements dans les logs. YARA décrit des caractéristiques dans des fichiers ou contenus.
Différence principale
| Outil | Ce qu'il détecte |
|---|---|
| Sigma | Événements et comportements dans les logs |
| YARA | Motifs dans des fichiers, binaires ou contenus |
Sigma est souvent utilisé côté SIEM. YARA est souvent utilisé pour l'analyse malware, les scans de fichiers ou la chasse sur artefacts.
Sigma
Une règle Sigma exprime une logique de détection indépendante d'un SIEM précis.
Elle peut ensuite être convertie vers différents langages de requête.
Une règle Sigma décrit généralement :
- titre
- description
- sources de logs
- conditions
- niveau de sévérité
- faux positifs possibles
- références
Exemple de logique Sigma
title: Exemple de commande suspecte
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith: '\powershell.exe'
CommandLine|contains: '-EncodedCommand'
condition: selection
level: medium
Cette règle est illustrative. En production, il faut l'adapter aux logs disponibles et tester les faux positifs.
YARA
YARA permet de décrire des motifs dans un fichier.
Une règle peut chercher :
- chaînes de caractères
- séquences hexadécimales
- propriétés de fichier
- combinaisons de conditions
Exemple de logique YARA
rule Exemple_Detection
{
strings:
$s1 = "chaine_suspecte"
condition:
$s1
}
Une règle YARA trop large peut générer beaucoup de faux positifs. Une règle trop spécifique peut manquer des variantes.
Bons réflexes
- documenter l'objectif de la règle
- indiquer les sources de logs nécessaires
- tester sur données propres et suspectes
- surveiller les faux positifs
- versionner les règles
- revoir les règles après incident
- ne pas confondre détection et preuve définitive
À retenir
Sigma aide à détecter des comportements dans les journaux. YARA aide à reconnaître des artefacts. Les deux gagnent en valeur quand ils sont testés, documentés et reliés à un processus de réponse.