# Конвертер правил Sigma

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/kuma/4.0/ru-RU/296337.htm](https://support.kaspersky.com/help/kuma/4.0/ru-RU/296337.htm)</p>

<p class="callout info">Поддерживаемые примеры конвертации правил Sigma [тут](https://support.kaspersky.com/help/kuma/4.0/ru-RU/301637.htm)</p>

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

#### Разворачивание конвертера правил Sigma

1. Установите конвертер правил Sigma. Для этого распайкуйте архив kuma-sigma-converter-x.x.x.tr.gz в папке установщика и после перейдите в распакованную директорию.

<p class="callout warning">Установку можно произвести на отдельной машине</p>

<p class="callout danger">Для работы необходим установленный Docker на ОС. Документация: [https://docs.docker.com/engine/install/](https://docs.docker.com/engine/install/) </p>

```bash
tar -xf kuma-sigma-converter-0.1.0.tar.gz && cd kuma-sigma-converter-0.1.0/
```

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/mM6image.png)

далее запускаем файл командой

```bash
./run.sh
```

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/cRMimage.png)

После установки конвертера необходимо перейти в веб-интерфейс в браузере по адресу

```
<IP_сервера>:<порт>
```

#### Работа с конвертером правил Sigma

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/mtKimage.png)

Тут уже видим, как форматируется sigma-rule в запрос, читаемый KUMA.

Но для дополнительной демонстрации возьмем еще правило и доработаем его, вставим правило во вкладку конвертера "rule"

В поле **<span class="guicharacter">backend</span>** выберите **<span class="guicharacter">kuma</span>**, в поле **<span class="guicharacter">Format</span>** выберите **<span class="guicharacter">default</span>**, поле **<span class="guicharacter">pipeline</span>** оставьте пустым. При необходимости нужно исправить ошибки в rule.yaml

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/Wdximage.png)

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

<p class="callout info">Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.</p>

<p class="callout warning">Правило должно начинаться со слова title, дефисов перед ним не должно быть.</p>

3\. Готовый результат из **query** скопируйте в KUMA. В результате получим условие WHERE для sql запроса.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/OgUimage.png)

Проверим и вставим запрос для фильтраций событий в KUMA:

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/scaled-1680-/bBCimage.png)

Видим события, связанные с данным фильтром.

Примеры для теста:

- [https://detection.fyi/sigmahq/sigma/windows/process\_creation/proc\_creation\_win\_conhost\_susp\_winshell\_child\_process/](https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_conhost_susp_winshell_child_process/)
- [https://detection.fyi/sigmahq/sigma/windows/process\_creation/proc\_creation\_win\_conhost\_susp\_winshell\_child\_process/](https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_conhost_susp_winshell_child_process/)