Sigma 是 SIEM(Security Information and Event Management)的開放偵測標準。規則描述 log 模式——Windows Event ID 4625 加上 logon type 3 加上來源 IP 在 allowlist 之外——SIEM 引擎(Splunk、ELK、Microsoft Sentinel)載入並執行。Sigma 已經十年,有數千條社群規則,是偵測工程的事實標準語言。
ATR 是 AI agent 的開放偵測標準。規則描述 agent-context 模式——`tool_call.arguments` 包含 base64 編碼的 reverse shell、`model_output` 包含夾帶憑證參數的 markdown 圖片參照、`agent_event.event_type` 為 unauthorized_file_read——ATR 引擎(PanGuard Guard、Microsoft AGT、Cisco AI Defense skill-scanner)載入並執行。ATR 兩年歷史,344 條規則,正在成為 AI agent 偵測的事實標準語言。