Конвертер правил Sigma

Конвертер правил Sigma преобразует правила корреляции в понятный KUMA формат и упрощает импорт простых правил для последующей доработки аналитиком.

Работа конвертера правил Sigma поддерживается на следующих операционных системах:

• Ubuntu 2024.
• Windows 10, 11.
• РЕДОС 7, 8.
• OracleLinux 8.3, 9.3.

Чтобы использовать конвертер правил Sigma для преобразования правил корреляции, выполните следующие шаги:

1. Установите конвертер правил Sigma. Доступны следующие варианты установки:
   • Установка конвертера правил Sigma с использованием docker и bash

     Этот метод установки подходит для локальной установки веб-интерфейса конвертера.

     Для установки требуются последние версии bash и docker. Для подробной информации по развертыванию bash и docker обратитесь к официальной документации.

     Astra Linux 1.7 не поддерживается.

     Чтобы выполнить установку:

     1. Войдите в директорию с распакованным архивом и выполните одну из команд:

        • Чтобы установить конвертер на 0.0.0.0:8000, выполните следующую команду:

          ./run.sh

        • Чтобы установить конвертер на 0.0.0.0:8888, выполните следующую команду:

          ./run.sh <порт (порт по умолчанию 8000)>

        • Чтобы установить конвертер на 127.0.0.1:9999, выполните следующую команду:

          ./run.sh <

          IP-адрес слушающего интерфейса, по умолчанию 0.0.0.0. Указывайте 127.0.0.1 для запуска только на локальном интерфейсе

          >:<

          порт

          >

   • Установка конвертера правил Sigma в среде, допускающей запуск образов docker

     Это метод установки использует предоставленный контейнер и этот способ может использоваться для создания сервиса systemd и развертывания веб-интерфейса с использованием Kubernetes.

     Подойдет любой инструмент запуска контейнеров: docker, podman, cri-o, и т.п. Установка заключается в загрузке образа контейнера и последующего запуска образа с указанием нужного порта.

     Чтобы установить конвертер с помощью podman:

     1. Загрузите образ контейнера: 

        podman load --input "kuma-sigma-converter-x.x.x.tar

     2. Запустите образ одним из следующих способов:
        • Запуск до нажатия Ctrl+C: 

          podman run --name=kuma-converter -p "8000:8000" -e "PORT=8000" --rm -it kuma-sigma-converter:x.x.x

        • Запуск в фоновом режиме: 

          podman run --name=kuma-converter -p "8000:8000" -e "PORT=8000" --rm kuma-sigma-converter:x.x.x

     Установка конвертера выполнена.

   • Установка конвертера правил Sigma с использованием Python 3.10 и выше

     Этот метод установки отличается наибольшей гибкостью и подходит опытным пользователям, поскольку вы можете адаптировать конвертер под свои потребности. В отличие от других методов, этот метод требует подключения к интернету для скачивания пакетов Python.

     Чтобы выполнить установку конвертера:

     1. Убедитесь, что установлен Python 3.10 или выше.
     2. Установите poetry—инструмент для управления зависимостями Python. Для Ubuntu или Debian можно воспользоваться менеджером пакетов:

        sudo apt-get update

        sudo apt install pipx

        pipx install poetry

     3. Используйте poetry для настройки и запуска веб-интерфейса конвертера правил Sigma:

        cd sigconverter.io

        poetry install

        poetry run ./run.py

     4. В браузере перейдите на хост, где установлен веб-интерфейс конвертера правил Sigma. Для локальной установки адрес будет следующим: http://127.0.0.1:8000 или http://0.0.0.0:8000.
     5. При необходимости вы можете указать переменные окружения HOST и PORT

        , чтобы настроить слушающий интерфейс и задать номер порта.

     Установка конвертера выполнена.

     Поскольку конвертер правил Sigma представляет собой плагин для инфраструктуры pySigma, допускается использование

     pySigma-backend-kuma

      с другими стандартными инструментами sigma, не только настраиваемой версией

     sigconverter.io

     . Например:

     sigma-cli  - конвертер с интерфейсом командной строки.

     sigconverter.io  - исходный универсальный веб-интерфейс.

     Ниже указаны файлы README для библиотек, представленных в исходном коде:

     src/pySigma/README.md -- инфраструктура и библиотека промышленного стандарта преобразования sigma.

     src/pySigma-backend-kuma/README.md -- плагин для pySigma, который реализует преобразование фильтров и запросов KUMA.

     src/sigconverter.io/README.md -- пользовательский веб-интерфейс.

   После установки войдите в веб-интерфейс конвертера.

2. Доработайте правило корреляции в конвертере правил Sigma и скопируйте или импортируйте доработанное правило в KUMA.
3. Перезапустите коррелятор, чтобы применить изменения.

Доработанное вами правило корреляции применяется в корреляторе.