Skip to main content

Конвертер правил Sigma

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

Чтобы воспользоваться конвертером правил Sigma, выполните следующие шаги:

  1. Установите конвертер правил Sigma. После установки войдите в веб-интерфейс конвертера.
  2. Подготовьте правило корреляции. Скопируйте из KUMA правило корреляции, которое вы хотите доработать, на вкладку конвертера rule. Выберите в раскрывающихся списках нужные параметры. При необходимости исправьте ошибки.

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.

Правило должно начинаться со слова title, дефисов перед ним не должно быть.

3.  Готовый результат скопируйте в KUMA, если это запрос или фильтр. Если вы хотите использовать в KUMA правило, можно импортировать в KUMA по одному правилу.

4. Перезапустите коррелятор, чтобы применить изменения.

 

Back to top