# Sigma 규칙 변환

## 개요

다음 [`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) 변환 도구 [Sigma 규칙](https://sigmahq.io/docs/basics/rules.html) 로 [간단한 탐지](/ko/detections.md#simple-detections) 또는 [Python 디택션](/ko/detections/rules/python.md).

보안 및 위협 인텔리전스 커뮤니티에서 Sigma 규칙은 공급업체에 종속되지 않는 형식으로 디택션 로직을 공유하는 일반적인 방법입니다. 이 변환기는 수천 개의 Sigma 규칙을 Panther에서 사용할 수 있도록 합니다. 또한 다른 SIEM에서 Panther로 더 쉽게 마이그레이션할 수 있게 해줍니다.

현재는 [특정 Panther 로그 소스](#supported-conversions) 에 대한 규칙만 변환이 지원됩니다.

## 도구 설치

도구를 설치하려면:

1. 설치 `sigma-cli`:
   * MacOS에서는 Homebrew를 사용하여 다음과 같이 설치할 수 있습니다:\
     `brew install sigma-cli`
   * 다른 플랫폼에서는 다음을 따르세요 [이 설치 안내](https://github.com/SigmaHQ/sigma-cli#installation).
2. Panther 백엔드와 파이프라인을 설치하려면 다음 명령을 실행하세요:

   ```bash
   sigma plugin install panther
   ```

## 도구 업그레이드

1. 업그레이드 `sigma-cli`:
   * MacOS에서는 다음을 실행하세요 `brew upgrade`.
   * 다른 플랫폼에서는 다음을 다시 실행하세요 [이 설치 안내](https://github.com/SigmaHQ/sigma-cli#installation).
2. 설치 명령을 다시 실행하여 플러그인을 업그레이드하세요:

   ```bash
   sigma plugin install panther
   ```

## 도구 사용

변환 도구를 사용하려면:

1. 로컬 Sigma 규칙 디렉터리로 이동합니다.
2. 변환 명령을 실행합니다:

   ```bash
   sigma convert -s -t panther -f <format> -p <processing pipeline> path/to/rules -O output_dir=output/directory
   ```

   * 처리 파이프라인 플래그(`-p`)의 값은 소스가 [클라우드](#cloud-log-sources) 또는 [엔드포인트 디텍션 및 대응(EDR)](#edr-log-sources) 소스인지에 따라 다릅니다.
     * 클라우드 로그 소스: 다음을 사용 `panther` (기본값)
     * EDR 소스: 아래의 [`sigma convert` 플래그](#sigma-convert-flags) 표에서 옵션을 확인하세요
   * 형식 플래그(`-f`)의 값은 다음 중 하나일 수 있습니다:
     * `python` (기본값): [Python 디텍션](/ko/detections/rules/python.md)
     * `sdyaml`: 생성합니다 [간단한 탐지](/ko/detections/rules/writing-simple-detections.md)
   * 추가 명령 옵션은 아래의 [`sigma convert` 플래그](#sigma-convert-flags) 표에서 확인하세요. 또한 추가 사용 방법은 [의 사용 섹션을 참조하세요 `sigma-cli` `README`](https://github.com/SigmaHQ/sigma-cli/tree/main#usage) 를 보세요.
3. 변환된 규칙을 Panther에 업로드하려면 [Panther Analysis Tool](/ko/panther/detections-repo/pat.md) 또는 [Bulk Uploader](https://docs.panther.com/panther-developer-workflows/ci-cd/deployment-workflows/pat/pat-commands#uploading-content-in-the-panther-console).

## 지원되는 변환

### 클라우드 로그 소스

모든 클라우드 소스는 동일한 변환 명령을 사용합니다:

```bash
sigma convert -s -t panther path/to/rules -O output_dir=output/directory
```

<table><thead><tr><th width="201">소스 이름</th><th width="594">지원되는 Panther 스키마</th></tr></thead><tbody><tr><td>AWS CloudTrail</td><td><a href="/pages/2c1da8057c863c39494f4a159ac24e02406365e5#aws.cloudtrail"><code>AWS.CloudTrail</code></a></td></tr><tr><td>GCP Audit</td><td><a href="https://docs.panther.com/data-onboarding/supported-logs/gcp"><code>GCP.AuditLog</code></a></td></tr><tr><td>GitHub</td><td><a href="/pages/9c4890eeda0fd48bc3d40fca26ea0b3d32b28165"><code>GitHub.Audit</code></a></td></tr><tr><td>Okta</td><td><a href="/pages/53670ace7bfdb62ee7dcb339571b32f7815487a4#okta.systemlog"><code>Okta.SystemLog</code></a></td></tr></tbody></table>

### EDR 로그 소스

이 도구는 특정 EDR 소스의 엔드포인트 이벤트에 대한 디택션을 변환할 수 있습니다. 이러한 디택션은 Windows, Mac, Linux 시스템에서 생성된 로그에 적용됩니다.

현재 다음 Sigma 로그 소스 범주가 지원됩니다:

* `process_creation`
* `file_event`
* `network_connection`

EDR 소스의 경우 처리 파이프라인 플래그(`-p`)의 값은 각 소스마다 고유합니다.

<table><thead><tr><th width="161">소스 이름</th><th width="287.728271484375">지원되는 Panther 스키마</th><th width="328.6197509765625">-p 플래그 값</th></tr></thead><tbody><tr><td>CrowdStrike</td><td><a href="/pages/235ceddd66d5f22865d21523a655859a8e7689e9#crowdstrike.fdrevent"><code>Crowdstrike.FDREvent</code></a></td><td><code>crowdstrike_panther</code></td></tr><tr><td>Carbon Black</td><td><a href="/pages/3ea38719df3bcc34ce4fdf6e8e7309ed5e5d12c4#carbonblack.endpointevent"><code>CarbonBlack.EndpointEvent</code></a></td><td><code>carbon_black_panther</code></td></tr><tr><td>SentinelOne</td><td><a href="https://docs.panther.com/data-onboarding/supported-logs/sentinel-one"><code>SentinelOne.DeepVisibilityV2</code></a></td><td><code>sentinelone_panther</code></td></tr><tr><td>Windows Event</td><td><a href="/pages/dba1b6d3f60b3b48401310f31937769422534641#windows.eventlogs"><code>Windows.EventLogs</code></a></td><td>Windows 보안 로그의 경우: <code>windows_audit_panther</code><br><br>Sysmon 로그의 경우: <code>sysmon_panther</code><br><br>PowerShell 같은 다른 Windows 로그 유형의 경우:<br><code>windows_logsource_panther</code></td></tr></tbody></table>

#### CrowdStrike 예시 변환 명령

```bash
sigma convert -s -t panther -p crowdstrike_panther path/to/rules -O output_dir=output/directory
```

## `sigma convert` 플래그

<table><thead><tr><th width="210">긴 이름</th><th width="108">짧은 플래그</th><th width="234">옵션</th><th>설명</th></tr></thead><tbody><tr><td><code>--target</code></td><td><code>-t</code></td><td><code>panther</code></td><td>사용할 Sigma 백엔드</td></tr><tr><td><code>--pipeline</code></td><td><code>-p</code></td><td><code>panther</code> (기본값): <a href="#cloud-log-sources">클라우드 로그 소스용</a><br><code>crowdstrike_panther</code><br><code>carbon_black_panther</code><br><code>sentinelone_panther</code></td><td>사용할 로그 소스 파이프라인</td></tr><tr><td><code>--format</code></td><td><code>-f</code></td><td><code>python</code> (기본값)<br><code>sdyaml</code></td><td>변환된 규칙의 출력 형식</td></tr><tr><td><code>--skip-unsupported</code></td><td><code>-s</code></td><td>없음</td><td>규칙을 대량 변환할 때 이 플래그 사용이 권장됩니다</td></tr><tr><td><code>--backend-option</code></td><td><code>-O</code></td><td><code>output_dir=...</code></td><td>변환된 규칙을 저장할 디렉터리</td></tr><tr><td><code>--help</code></td><td>없음</td><td>없음</td><td>도움말 문서 보기</td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/panther/converting-sigma-rules.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.