Конвертер правил Sigma
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/help/kuma/4.0/ru-RU/296337.htm
Поддерживаемые примеры конвертации правил Sigma тут
Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и облегчает импорт простых правил для последующей доработки аналитиком.
Чтобы воспользоваться конвертером правил Sigma, выполните следующие шаги:
- Установите конвертер правил Sigma. Для этого распайкуйте архив kuma-sigma-converter-x.x.x.tr.gz в папке установщика и после перейдите в распакованную директорию
далее запускаем файл командой
./run.sh
После установки конвертера необходимо перейти в веб-интерфейс в браузере по адресу
<IP_сервера!:><порт>
Тут уже видим, как форматируется sigma-rule в запрос, читаемый KUMA.
Но для дополнительной демонстрации возьмем еще правило и доработаем его, вставим правило во вкладку конвертера "rule"
В поле backend выберите kuma, в поле Format выберите default, поле pipeline оставьте пустым. При необходимости нужно исправить ошибки в rule.yaml
Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру, иначе придется корректировать правило в KUMA.
Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.
Правило должно начинаться со слова title, дефисов перед ним не должно быть.
3. Готовый результат из QUARY скопируйте в KUMA. В результате получим условие WHERE для sql запроса.
Проверим и вставим запрос для фильтраций событий
Видим события, связанные с данным правилом