Sigma 규칙 변환
Sigma 규칙을 Panther 탐지로 변환하기
개요
다음을 사용하세요 sigma-cli 변환 도구 Sigma 규칙 다음으로 Simple Detections 또는 Python 탐지.
보안 및 위협 인텔리전스 커뮤니티에서 Sigma 규칙은 공급업체에 구애받지 않는 형식으로 탐지 논리를 공유하는 일반적인 방법입니다. 이 변환기는 수천 개의 Sigma 규칙을 Panther에서 사용할 수 있도록 합니다. 또한 다른 SIEM에서 Panther로 마이그레이션할 때 더 쉽게 해줄 수 있습니다.
현재 변환이 지원되는 것은 특정 Panther 로그 소스 에 대한 규칙뿐입니다.
도구 설치
도구를 설치하려면:
설치
sigma-cli:MacOS에서는 Homebrew를 사용하여 설치할 수 있습니다:
brew install sigma-cli다른 플랫폼에서는 다음을 따르세요 이 설치 지침.
다음 명령을 실행하여 Panther 백엔드와 파이프라인을 설치하세요:
sigma plugin install panther
도구 업그레이드
업그레이드
sigma-cli:MacOS에서는 다음을 실행하세요
brew upgrade.다른 플랫폼에서는 다음을 다시 실행하세요 이 설치 지침.
설치 명령을 다시 실행하여 플러그인을 업그레이드하세요:
sigma plugin install panther
도구 사용
변환 도구를 사용하려면:
로컬 Sigma 규칙 디렉토리로 이동하세요.
변환 명령을 실행하세요:
처리 파이프라인 플래그(
-p)의 값은 소스가 클라우드 또는 엔드포인트 탐지 및 대응(EDR) 소스인지에 따라 달라집니다.클라우드 로그 소스: 사용
panther(기본값)EDR 소스: 옵션은
sigma convert플래그 표를 참조하세요, 아래
포맷 플래그(
-f)의 값은 다음 중 하나일 수 있습니다:python(기본값): 생성 Python 탐지sdyaml: 생성 Simple Detections
추가 명령 옵션에 대해서는 아래
sigma convert플래그 표를 참조하세요. 추가 사용 지침은 READMEsigma-cli의 Usage 섹션을 참조하세요.추가 사용 지침을 위해.
변환된 규칙을 Panther에 업로드하려면 Panther 분석 도구 또는 대량 업로더.
지원되는 변환
클라우드 로그 소스
모든 클라우드 소스는 동일한 변환 명령을 사용합니다:
EDR 로그 소스
이 도구는 특정 EDR 소스의 엔드포인트 이벤트에 대한 탐지를 변환할 수 있습니다. 이러한 탐지는 Windows, Mac 및 Linux 시스템에서 생성된 로그에 적용됩니다.
현재 다음 Sigma 로그 소스 카테고리가 지원됩니다:
process_creationfile_eventnetwork_connection
EDR 소스의 경우 처리 파이프라인 플래그(-p)의 값은 각 소스마다 고유하다는 점에 유의하세요.
Windows 이벤트
Windows 보안 로그의 경우: windows_audit_panther
Sysmon 로그의 경우: sysmon_panther
PowerShell과 같은 다른 Windows 로그 유형의 경우:
windows_logsource_panther
CrowdStrike 예시 변환 명령
sigma convert 플래그
sigma convert 플래그--target
-t
panther
사용할 Sigma 백엔드
--pipeline
-p
panther (기본값): 클라우드 로그 소스용 사용할 로그 소스 파이프라인
crowdstrike_panther
carbon_black_panther
sentinelone_panther
--format
변환된 규칙의 출력 형식
-f
python (기본값)
sdyaml
--skip-unsupported
-s
대량으로 규칙을 변환할 때 이 플래그를 사용하는 것이 권장됩니다
없음
--backend-option
-O
output_dir=...
변환된 규칙을 저장할 디렉토리
변환된 규칙을 저장할 디렉터리
--help
없음
없음
도움말 문서 보기
Last updated
Was this helpful?