Какие SIEM-системы / системы управления логами будут поддерживаться?

Сигма является обобщённым форматом для написания правил, которые могут быть сконвертированы в поисковые выражения (запросы). Для большинства целевых со своим специфичным языком запросов, достаточно просто написать собственный бэкенд (плагин) и добавить его в список поддерживаемых. Для ознакомления с полным списком плагинов, которые поддерживаются в настоящее время, обратитесь к README проекта.

Почему используется YAML?

Поскольку его легко читать, на нём легко писать, он гибкий и обеспечивает все необходимые языковые конструкции. Однако ему не хватает стандартизированной схемы языка, которая присутствует в XML.

Не является ли Sigma аналогом OSSEC?

Sigma ставит перед собобой цель быть обощённым форматом для всех типов логируемой информации, в то время как OSSEC очень хорошо покрывает детектирование на хостах, используя свою специфичесую базу правил в XML-формате. Определённо, мы могли бы преобразовать базу правил OSSEC, распространяемую под лицензией GPL, и предоставить ее в виде правил в формате Sigma, это позволит сделать правила обнаружения доступными для любой SIEM-системы.