Конвертер правил Sigma

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

Чтобы воспользоваться конвертером правил Sigma, выполните следующие шаги:

1. Установите конвертер правил Sigma. После установки войдите в веб-интерфейс конвертера.
2. Подготовьте правило корреляции. Скопируйте из KUMA правило корреляции, которое вы хотите доработать, на вкладку конвертера rule. Выберите в раскрывающихся списках нужные параметры. При необходимости исправьте ошибки.

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.

Правило должно начинаться со слова title, дефисов перед ним не должно быть.

3.  Готовый результат скопируйте в KUMA, если это запрос или фильтр. Если вы хотите использовать в KUMA правило, можно импортировать в KUMA по одному правилу.

4. Перезапустите коррелятор, чтобы применить изменения.

 

Чтобы конвертировать правило Sigma в правило KUMA:

1. Скопируйте из KUMA правило корреляции, которое вы хотите доработать, на вкладку конвертера rule. Выберите в раскрывающихся списках нужные параметры. При необходимости исправьте ошибки.
2. В конверторе Sigma в поле backend выберите kuma, в поле Format выберите default, поле pipeline оставьте пустым.
3. Перейдите на вкладку pipline.yaml и скопируйте туда "Пример словаря адаптированный под pySigma".

Правило конвертировано.

В результате получим условие WHERE для sql запроса.

Поддерживаемые примеры конвертации правил Sigma тут