Sigma Rules y Detection Engineering: los repos esenciales

Por qué Sigma importa

Si YARA es el estándar para detección de malware en archivos, Sigma es el estándar para detección de comportamiento en logs. Una regla Sigma describe un patrón sospechoso en eventos del sistema (Windows Event Log, Sysmon, firewall, proxy) de forma agnóstica al SIEM.

Escribes la regla una vez en formato YAML. Luego un backend la convierte a la query nativa de tu SIEM: Splunk SPL, Elasticsearch KQL, Microsoft Sentinel, Suricata, QRadar. Este modelo "write once, deploy everywhere" es lo que ha convertido a Sigma en el estándar de detection engineering.

Top repositorios

1. SigmaHQ/sigma (oficial)

Repo: SigmaHQ/sigma Stars: 8,000+ | Reglas: 3,000+ | Estado: muy activo

El repositorio oficial mantenido por la comunidad Sigma. Contiene más de 3,000 reglas organizadas por categoría: process creation, network connection, file creation, registry, etc. Cada regla tiene metadata estandarizada: status, level (informational/low/medium/high/critical), MITRE ATT&CK mapping, author, date.

Estructura clave:

rules/
├── windows/
│   ├── process_creation/    # ~800 reglas
│   ├── file_event/          # ~200 reglas
│   ├── registry_event/      # ~150 reglas
│   ├── network_connection/  # ~100 reglas
│   └── sysmon/              # Eventos Sysmon específicos
├── linux/
│   ├── auditd/
│   └── process_creation/
├── cloud/
│   ├── aws/
│   ├── azure/
│   └── gcp/
└── network/
    ├── dns/
    ├── firewall/
    └── proxy/

Uso: base de detección para cualquier SOC. Importa las reglas high/critical como mínimo.

2. pySigma + sigma-cli (herramientas)

Repo: SigmaHQ/pySigma Stars: 500+ | Estado: activo

El framework Python para procesar reglas Sigma: parsing, validación, conversión a backends. sigma-cli es la interfaz de línea de comandos.

# Convertir regla Sigma a Elasticsearch
sigma convert -t elasticsearch rules/windows/process_creation/

Backends disponibles: Splunk, Elasticsearch, Microsoft Sentinel, QRadar, CrowdStrike, InsightIDR, Datadog, Grafana Loki y 20+ más.

3. SigmaHQ/sigma-specification

Repo: SigmaHQ/sigma-specification

La especificación formal del lenguaje Sigma. Referencia obligatoria para escribir reglas correctas: campos válidos, modificadores, condiciones, wildcards, regex.

4. Nextron Systems / sigma-rules (Florian Roth)

Florian Roth (creador de YARA signature-base) contribuye activamente a SigmaHQ y mantiene reglas adicionales en sus repositorios de Nextron Systems. Las reglas de Roth son de las más fiables: bajo ratio de falsos positivos, bien documentadas, con MITRE mapping.

5. elastic/detection-rules

Repo: elastic/detection-rules Stars: 3,500+ | Estado: muy activo

Las reglas de detección de Elastic Security. No son formato Sigma puro (usan EQL/KQL), pero cubren el mismo espacio funcional. Si usas Elastic SIEM, estas reglas se despliegan directamente. Si no, sirven como referencia de lógica de detección.

6. splunk/security_content

Repo: splunk/security_content Stars: 1,500+ | Estado: activo

Las detecciones de Splunk ES organizadas como "Analytic Stories". Cada story agrupa detecciones relacionadas con una amenaza: ransomware, credential access, lateral movement. Incluye reglas Splunk SPL, playbooks de investigación y datos de test.

Cómo montar un pipeline de Sigma

Flujo recomendado

1. Clone: SigmaHQ/sigma (reglas base)
2. Filtrar: solo status=test o stable, level >= medium
3. Convertir: pySigma → tu SIEM
4. Deploy: importar queries convertidas
5. Tune: ajustar exclusiones para tu entorno (ruido)
6. Test: validar con Atomic Red Team (ejecución de técnicas)
7. Update: pull semanal + merge selectivo

Testing con Atomic Red Team

Atomic Red Team es el complemento perfecto para Sigma. Ejecutas una técnica ATT&CK con Atomic, verificas que tu regla Sigma la detecta. Si no la detecta, ajustas la regla.

# Ejecutar técnica T1059.001 (PowerShell)
Invoke-AtomicTest T1059.001 -TestNumbers 1

# Verificar que Sigma rule process_creation/win_susp_powershell.yml
# genera alerta en tu SIEM

Errores comunes

1. Importar todas las reglas sin filtrar: el 60% de las reglas SigmaHQ son status=experimental. En producción, empieza con test/stable solamente
2. No tunear para tu entorno: las reglas asumen un entorno genérico. Tu empresa tiene software legítimo que dispara falsos positivos
3. Ignorar Sysmon: muchas reglas Sigma requieren Sysmon instalado para generar los eventos que detectan. Sin Sysmon, esas reglas son inútiles
4. No mapear a ATT&CK: cada regla Sigma debería tener su mapping ATT&CK para medir cobertura

Veredicto

SigmaHQ/sigma es el punto de partida obligatorio para cualquier programa de detection engineering. 3,000+ reglas gratuitas, multi-SIEM, con MITRE mapping. Complementa con Elastic o Splunk según tu stack. Y siempre testea con Atomic Red Team antes de confiar en una regla.