/tags/detection-engineering/Recent content in Detection-Engineering on Suspicious BytesHugonl-NLMon, 08 Jun 2026 00:00:00 +0000/posts/writing-your-first-sigma-rule/Mon, 08 Jun 2026 00:00:00 +0000/posts/writing-your-first-sigma-rule/<p>Sigma is voor logdetecties wat YARA is voor bestanden: een generieke, leveranciersonafhankelijke manier om te beschrijven <em>wat</em> je wilt detecteren, die je daarna omzet naar de querytaal die je SIEM echt spreekt.</p> <h2 id="waarom-een-portable-formaat">Waarom een portable formaat?</h2> <p>Detecties die direct in één querytaal zijn geschreven, zitten daar voor altijd aan vast. Met Sigma schrijf je één keer en compileer je naar meerdere backends:</p> <ul> <li>Eén regel, meerdere doelen (Splunk, Elastic, Sentinel, …)</li> <li>Reviewbaar in pull requests zoals alle andere code</li> <li>Deelbaar met de community zonder je stack te lekken</li> </ul> <blockquote> <p>Een detectie die je niet kunt testen, versioneren en reviewen is een risico, geen bezit.</p>