Skip to main content

Конвертер правил Sigma

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/kuma/4.0/ru-RU/296337.htm

Поддерживаемые примеры конвертации правил Sigma тут

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.

Чтобы воспользоваться конвертером правил Sigma, выполните следующие шаги:
  1. Установите конвертер правил Sigma. Для этого распайкуйте архив kuma-sigma-converter-x.x.x.tr.gz в папке установщика и после перейдите в распакованную директорию

image.png

далее запускаем файл командой 

./run.sh

image.png

После установки конвертера необходимо перейти в веб-интерфейс в браузере по адресу <IP_сервера!:><порт>:

image.png

Скопируйте из KUMA правило корреляции, которое вы хотите доработать. Для этого перейдите в меню KUMA  -> Ресурсы -> Правила корреляции

image.png

Далее выберите нужное правило корреляции, перейдите в параметр "Селекторы" и для копирования нажмите "код" в представлении правила. Скопируйте правило

image.png

Далее вставьте правило во вкладку конвертера "rule" и выберите параметры в поле backend выберите kuma, в поле Format выберите default, поле pipeline оставьте пустым. При необходимости исправьте ошибки в rule.yaml.yaml

image.png

Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.

Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.

Правило должно начинаться со слова title, дефисов перед ним не должно быть.

3.  Готовый результат из QUARY скопируйте в KUMA. В результате получим условие WHERE для sql запроса.

image.png

Поддерживаемые примеры конвертации правил Sigma тут

Установка конвертера правил Sigma с использованием docker + bash

Этот тип установки подходит для локальной установки веб-интерфейса конвертера.

Astra Linux 1.7 не поддерживается.

Чтобы выполнить установку:

  1. Войдите в директорию с распакованным архивом и выполните одну из команд

image.png

Back to top