信息系统安全协会 (ISSA) 和行业分析公司 Enterprise Strategy Group (ESG) 的一项全球研究表明，令人担忧的网络安全技能短缺问题在 2021 年连续第五年肆虐。这种技能短缺影响了 57% 的组织，导致网络安全团队的工作量增加、网络安全职位空缺空缺以及网络安全团队成员的高度倦怠。

一种名为 Sigma 规则的网络安全团队相对较新的工具为技能危机提供了缓解选项。它可能无法完全消除这个问题，但它可以为团队提供喘息空间做出重大贡献，因为他们正在应对因没有足够的人手来应对侵略性和不断发展的网络威胁而造成的严重影响。

西格玛规则概述
Sigma 规则是文本签名，旨在促进检测日志事件中的异常和可疑活动。它使用YAML编写，类似于 YARA，作为共享威胁检测信息的工具。不过，它的不同之处在于它专注于 SIEM 而不是网络流量和文件。Sigma 规则主要用于检测符合 SOC 工程师指定的特定标准的日志事件。此功能对于启用事件检测和响应系统的自动响应至关重要。

使用 Sigma 规则的最大好处是它们的标准化格式。Sigma 规则格式取代了供应商特定 SIEM 平台使用的格式或语言。在由于缺乏合格成员而导致网络安全团队过度劳累和精疲力竭的情况下，这一优势非常重要。

Sigma 规则的概念于 2017 年引入，由检测工程师 Florian Roth 和开源安全工具开发人员 Thomas Patzke 共同开发。Roth 还开发了 THOR APT 扫描器，这是一款功能齐全的 YARA 和 IOC 扫描器，旨在自动评估安全漏洞。Patzke 一直积极参与事件响应和威胁搜寻活动，他对 Log4Pot 漏洞 (CVE-2021-44228) 的分析做出了显着贡献。

解决技能短缺问题
Sigma 规则的一大亮点是它们用于检测信息共享的标准化格式。这是至关重要的，因为它允许团队编写一次规则并将它们应用于不同的SIEM 解决方案。无需为不同的 SIEM 操作重写规则，这意味着效率显着提高。

例如，如果团队已经为 Azure Sentinel SIEM 工具编写了 Sigma 规则，则在 Splunk 中使用相同的规则不需要从头开始重写代码。Sentinel 代码可以自动转换为适用于 Splunk 的代码。这是可能的，因为 Sigma 规则是开源的。一旦规则以 Sigma 规则格式编写，这些规则对每个人都可用或有用，即使他们使用不同的 SIEM 工具。

采用 Sigma 规则可显着减少参与安全信息和事件管理操作的人员的任务。这意味着安全团队不太可能被大量任务和倦怠案例所淹没。虽然公司仍在寻找更多合格的SOC 工程师加入团队，但现有的 SOC 工程师已经可以通过使用 Sigma 规则来减少他们的工作量。

学习如何编写 Sigma 规则非常具有挑战性。Sigma 规则创建指南有一个规则创建模板，任何人都可以使用它来入门。但是，熟悉书写错误的常见规则也很重要，例如在标题中使用前缀、警报名称少于 50 个字符、反斜杠使用不当以及不注意标题大小写。

预先编写的 Sigma 规则
采用 Sigma 规则可以借助现成的 Sigma 规则进一步提高 SIEM 运营效率。这些是安全解决方案提供商根据他们长期以来收集的威胁检测信息预先制定的规则。

SOC 工程师根据他们从各种来源获得的信息编写他们的威胁检测规则，从威胁情报数据库到来自 MITRE ATT&CK 等对抗性策略检测框架的更新。这些信息是通过安全验证或安全态势管理平台不断积累的，因此不利用现成的细节来促进快速自动编写规则以供各地 SOC 团队使用是不明智的。

这种 Sigma 规则的预写可以消除 SOC 工程师编写规则的需要。他们可能只需要偶尔评估自动生成的规则或进行审计以检查规则是否正确编写以及它们是否符合预期目的。

传统的威胁检测规则编写占据了 SOC 工程师工作时间的很大一部分。他们不可避免地不得不为每一个发现的新威胁重复编写规则。这是一个乏味且耗时的过程，一些 SOC 工程师会发现极难处理。SOC 团队需要更多人手来确保准确、及时地编写规则，以跟上新漏洞和网络攻击的出现。Sigma 规则和预先编写的 Sigma 规则明显减轻了 SOC 团队必须处理的负担。 

Sigma 规则的其他好处
间接地，Sigma 规则通过为网络威胁研究人员和情报人员提供一种不可知的方式来共享他们的威胁检测信息，从而帮助改善网络安全社区。这消除了安全工程师完成转换（针对其他平台）他们编写的规则或编写有关新威胁检测的报告的过程。

独立的安全研究人员也将有权分享他们的检测数据。通过使用标准化的 Sigma 规则格式，他们立即成为依赖开源信息的全球网络安全研究社区的一部分。

使用 Sigma 规则还有利于处理多个 SIEM、端点检测、响应和日志分析平台以及数据分类法或模式的 MSSP 和 MDR。它还消除了供应商锁定带来的不便，供应商锁定迫使组织继续使用特定的专有工具，因为他们的所有数据都以专有格式记录和保存。因此，切换到其他选项变得太不方便了。

同样，Sigma 规则并不是解决全球持续存在的网络安全技能短缺问题的方法。这个问题需要一种涉及教育机构、网络安全行业和企业的整体方法。然而，Sigma 规则提供了真正的好处，可以减轻 SOC 工程师的工作量，并帮助他们承担大量的工作，直到招募和部署更多的安全工程师。