Sigma 규칙 변환하기

개요

다음 sigma-cli 변환 도구 Sigma 규칙 로 간단한 탐지 또는 Python 디택션.

보안 및 위협 인텔리전스 커뮤니티에서 Sigma 규칙은 공급업체에 종속되지 않는 형식으로 디택션 로직을 공유하는 일반적인 방법입니다. 이 변환기는 수천 개의 Sigma 규칙을 Panther에서 사용할 수 있도록 합니다. 또한 다른 SIEM에서 Panther로 더 쉽게 마이그레이션할 수 있게 해줍니다.

현재는 특정 Panther 로그 소스 에 대한 규칙만 변환이 지원됩니다.

도구 설치

도구를 설치하려면:

1. 설치 sigma-cli:

   • MacOS에서는 Homebrew를 사용하여 다음과 같이 설치할 수 있습니다: brew install sigma-cli

   • 다른 플랫폼에서는 다음을 따르세요 이 설치 안내.

2. Panther 백엔드와 파이프라인을 설치하려면 다음 명령을 실행하세요:

   복사

   sigma plugin install panther

도구 업그레이드

1. 업그레이드 sigma-cli:

   • MacOS에서는 다음을 실행하세요 brew upgrade.

   • 다른 플랫폼에서는 다음을 다시 실행하세요 이 설치 안내.

2. 설치 명령을 다시 실행하여 플러그인을 업그레이드하세요:

   복사

   sigma plugin install panther

도구 사용

변환 도구를 사용하려면:

1. 로컬 Sigma 규칙 디렉터리로 이동합니다.

2. 변환 명령을 실행합니다:

   • 처리 파이프라인 플래그(-p)의 값은 소스가 클라우드 또는 엔드포인트 디텍션 및 대응(EDR) 소스인지에 따라 다릅니다.

     • 클라우드 로그 소스: 다음을 사용 panther (기본값)

     • EDR 소스: 아래의 sigma convert 플래그 표에서 옵션을 확인하세요

   • 형식 플래그(-f)의 값은 다음 중 하나일 수 있습니다:

     • python (기본값): Python 디텍션

     • sdyaml: 생성합니다 간단한 탐지

   • 추가 명령 옵션은 아래의 sigma convert 플래그 표에서 확인하세요. 또한 추가 사용 방법은 의 사용 섹션을 참조하세요 sigma-cli README 를 보세요.

3. 변환된 규칙을 Panther에 업로드하려면 Panther Analysis Tool 또는 Bulk Uploader.

지원되는 변환

클라우드 로그 소스

모든 클라우드 소스는 동일한 변환 명령을 사용합니다:

EDR 로그 소스

이 도구는 특정 EDR 소스의 엔드포인트 이벤트에 대한 디택션을 변환할 수 있습니다. 이러한 디택션은 Windows, Mac, Linux 시스템에서 생성된 로그에 적용됩니다.

현재 다음 Sigma 로그 소스 범주가 지원됩니다:

• process_creation

• file_event

• network_connection

EDR 소스의 경우 처리 파이프라인 플래그(-p)의 값은 각 소스마다 고유합니다.

CrowdStrike 예시 변환 명령

sigma convert 플래그