Sigma 룰 변환
Sigma 룰을 Panther 디텍션으로 변환하기
개요
다음을 사용하세요 sigma-cli 변환 도구 Sigma 룰 다음으로 심플 디텍션 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Python 디텍션.
보안 및 위협 인텔리전스 커뮤니티에서 Sigma 룰은 공급업체에 구애받지 않는 형식으로 디텍션 로직을 공유하는 일반적인 방법입니다. 이 변환기는 수천 개의 Sigma 룰을 Panther에서 사용할 수 있도록 합니다. 또한 다른 SIEM에서 Panther로 마이그레이션하는 것을 더 쉽게 만들 수 있습니다.
현재는 특정 Panther 로그 소스 에 대한 룰만 변환을 지원합니다.
도구 설치
도구를 설치하려면:
설치
sigma-cli:MacOS에서는 Homebrew를 사용하여 설치할 수 있습니다:
brew install sigma-cli다른 플랫폼에서는 다음을 따르세요 이 설치 안내서.
다음 명령을 실행하여 Panther 백엔드와 파이프라인을 설치하세요:
sigma plugin install panther
도구 업그레이드
업그레이드
sigma-cli:MacOS에서는 다음을 실행하세요
brew upgrade.다른 플랫폼에서는 설치 명령을 다시 실행하세요 이 설치 안내서.
설치 명령을 다시 실행하여 플러그인을 업그레이드하세요:
sigma plugin install panther
도구 사용
변환 도구를 사용하려면:
로컬 Sigma 룰 디렉터리로 이동하세요.
변환 명령을 실행하세요:
processing pipeline 플래그(
-p)의 값은 소스가 클라우드 이전에 생성한 Snowflake 사용자 이름, 예를 들면 엔드포인트 탐지 및 대응(EDR) 소스인지에 따라 다릅니다.클라우드 로그 소스: 사용
panther(기본값)EDR 소스: 옵션은 다음
sigma convert플래그 표를 참고하세요
format 플래그(
-f)의 값은 다음 중 하나일 수 있습니다:python(기본값): 생성 Python 디텍션sdyaml: 생성 심플 디텍션
추가 명령 옵션에 대해서는
sigma convert플래그 테이블, 아래. 참조 사용법 섹션sigma-cliREADME추가 사용 지침은.
변환된 룰을 Panther에 업로드하려면 프로그램 방식으로 업로드할 수 있습니다 헤더 행에서 Search 결과 테이블에서 열 제거 대량 업로더.
지원되는 변환
클라우드 로그 소스
모든 클라우드 소스는 동일한 변환 명령을 사용합니다:
EDR 로그 소스
이 도구는 특정 EDR 소스의 엔드포인트 이벤트에 대한 디텍션을 변환할 수 있습니다. 이러한 디텍션은 Windows, Mac 및 Linux 시스템에서 생성된 로그에 적용됩니다.
현재 다음 Sigma 로그 소스 카테고리가 지원됩니다:
process_creationfile_eventnetwork_connection
EDR 소스의 경우 처리 파이프라인 플래그(의 값은-p) 각 소스마다 고유합니다.
Windows 이벤트
Windows 보안 로그의 경우: windows_audit_panther
Sysmon 로그의 경우: sysmon_panther
PowerShell과 같은 다른 Windows 로그 유형의 경우:
windows_logsource_panther
CrowdStrike 예시 변환 명령
sigma convert 플래그
sigma convert 플래그--target
-t
panther
사용할 Sigma 백엔드
--pipeline
-p
panther (기본값): for 클라우드 로그 소스
crowdstrike_panther
carbon_black_panther
sentinelone_panther
사용할 로그 소스 파이프라인
--format
-f
python (기본값)
sdyaml
변환된 룰의 출력 형식
--skip-unsupported
-s
는 선택적
룰을 대량으로 변환할 때 이 플래그 사용을 권장합니다
--backend-option
-O
output_dir=...
변환된 룰을 저장할 디렉터리
--help
는 선택적
는 선택적
도움말 문서 보기
마지막 업데이트
도움이 되었나요?