Skip to main content

Конвертер правил Sigma

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

Чтобы воспользоваться конвертером правил Sigma, выполните следующие шаги:
  1. Установите конвертер правил Sigma. Для этого распайкуйте архив kuma-sigma-converter-x.x.x.tr.gz в папке установщика и после перейдите в распакованную директорию

image.png

далее запускаем файл командой 

./run.sh

image.png

После установки конвертера необходимо перейти в веб-интерфейс в браузере по адресу <IP_сервера!:><порт>:

image.png

Скопируйте из KUMA правило корреляции, которое вы хотите доработать. Для этого перейдите в меню KUMA  -> Ресурсы -> Правила корреляции

image.png

Далее выберите нужное правило корреляции, перейдите в параметр "Селекторы" и для копирования нажмите "код" в представлении правила. Скопируйте правило

image.png

Далее вставьте правило во вкладку конвертера "rule" и выберите параметры в поле backend выберите kuma, в поле Format выберите default, поле pipeline оставьте пустым. При необходимости исправьте ошибки в rule.yaml.

image.png

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.

Правило должно начинаться со слова title, дефисов перед ним не должно быть.

3.  Готовый результат из QUARY скопируйте в KUMA.В результате получим условие WHERE для sql запроса.

image.png

Поддерживаемые примеры конвертации правил Sigma тут

Установка конвертера правил Sigma с использованием docker + bash

Этот тип установки подходит для локальной установки веб-интерфейса конвертера.

Astra Linux 1.7 не поддерживается.

Чтобы выполнить установку:

  1. Войдите в директорию с распакованным архивом и выполните одну из команд

image.png

Back to top