Skip to main content

Конвертер правил Sigma

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/kuma/4.0/ru-RU/296337.htm

Поддерживаемые примеры конвертации правил Sigma тут

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

Разворачивание конвертера правил Sigma

  1. Установите конвертер правил Sigma. Для этого распайкуйте архив kuma-sigma-converter-x.x.x.tr.gz в папке установщика и после перейдите в распакованную директорию.

Установку можно произвести на отдельной машине

Для работы необходим установленный Docker на ОС. Документация: https://docs.docker.com/engine/install/ 

tar -xf kuma-sigma-converter-0.1.0.tar.gz && cd kuma-sigma-converter-0.1.0/

image.png

далее запускаем файл командой 

./run.sh

image.png

После установки конвертера необходимо перейти в веб-интерфейс в браузере по адресу 

<IP_сервера>:<порт>

Работа с конвертером правил Sigma

image.png

Тут уже видим, как форматируется sigma-rule в запрос, читаемый KUMA.

Но для дополнительной демонстрации возьмем еще правило и доработаем его, вставим правило во вкладку конвертера "rule"

В поле backend выберите kuma, в поле Format выберите default, поле pipeline оставьте пустым. При необходимости нужно исправить ошибки в rule.yaml

image.png

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.

Правило должно начинаться со слова title, дефисов перед ним не должно быть.

3.  Готовый результат из query скопируйте в KUMA. В результате получим условие WHERE для sql запроса.

image.png

Проверим и вставим запрос для фильтраций событий в KUMA:

image.png

Видим события, связанные с данным фильтром.

No comments to display

Back to top