Подготовка правила Sigma

Чтобы конвертировать правило Sigma в правило KUMA:

Перед доработкой правила убедитесь, что соблюдены следующие требования:
- Поскольку в предустановленных нормализаторах используется обогащение событий to lower case для полей, содержащих имена пользователей, имена хостов, имена процессов, мы рекомендуем в исходном правиле Sigma приводить соответствующие поля к нижнему регистру.
- Мы не рекомендуем в условиях contains и подобных условиях писать комментарии или дополнительную информацию. В случае необходимости оставить комментарий мы рекомендуем использовать символ #, тогда комментарий не окажет влияния на условие.
- Правило должно начинаться со слова title, дефисов перед ним не должно быть.
Скопируйте из веб-интерфейса KUMA правило корреляции, которое вы хотите доработать, на вкладку конвертера rule. Выберите в раскрывающихся списках нужные параметры. При необходимости исправьте ошибки.
В конвертере правил Sigma в поле Backend выберите kuma, в поле Format выберите default, поле Pipeline оставьте пустым.

Доступны следующие значения:
- Backend: kuma, Format: default - готовый для запуска SQL-запрос без форматирования.
- Backend: kuma, format: SQL_formatted - готовый для запуска SQL запрос c форматированием.
- Backend: kuma_filter, Format: default - готовый селектор для правила корреляции.
- Backend: kuma_filter, Format: correlation - готовое для импорта правило корреляции в формате JSON. Для импорта вы можете использовать метод REST API /api/v2.1/resources/correlationRule/create с указанием tenantID и имени тенанта для импорта.
Перейдите на вкладку pipline.yaml и скопируйте на эту вкладку "Пример словаря, адаптированный под pySigma".
- Windows process_creation mapping
  product: windows
  
  category: process_creation
  
  DeviceEventClassID = 4688
- Windows sysmon EVENT=11 mapping
  product: windows
  
  service: Sysmon
  
  EventID = 11
- Windows security
  product: windows
  
  service: security
  
  EventID = 4624|4662|4104|4698
  
  name: KUMA windows
  
  priority: 30
  
  transformations:
  
  ### Windows process_creation mapping
  
  - id: MAPPING_logsource_windows_process_creation
  
  type: field_name_mapping
  
  mapping:
  
  ParentImage: SourceProcessName
  
  Image: DestinationProcessName
  
  CommandLine: DeviceCustomString4
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  category: process_creation
  
  - id: DEFAULT_FOR_logsource_windows_process_creation
  
  type: add_condition
  
  conditions:
  
  DeviceVendor: Microsoft
  
  DeviceProduct: Windows
  
  DeviceEventClassID: '4688'
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  category: process_creation
  
  ### Windows sysmon EventID=11 mapping
  
  - id: DEFAULT_FOR_logsource_windows_sysmon
  
  type: add_condition
  
  conditions:
  
  DeviceVendor: Microsoft
  
  DeviceProduct: Sysmon
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  service: Sysmon
  
  - id: MAPPING_logsource_windows_sysmon
  
  type: field_name_mapping
  
  mapping:
  
  EventID: DeviceEventClassID
  
  Image: OldFilePath
  
  CommandLine: DeviceCustomString4
  
  TargetFilename: FilePath
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  service: Sysmon
  
  ### Windows security mapping
  
  - id: DEFAULT_FOR_logsource_windows_security
  
  type: add_condition
  
  conditions:
  
  DeviceVendor: Microsoft
  
  DeviceProduct: Windows
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  service: security
  
  - id: DEFAULT_MAPPING_FOR_logsource_windows_security
  
  type: field_name_mapping
  
  mapping:
  
  Computer: DestinationHostName
  
  LogonID: FlexString1
  
  rule_conditions:
  
  - type: logsource
  
  product: windows
  
  service: security
  
  - id: 4624_CONDITIONAL_MAPPING_logsource_windows_security
  
  type: field_name_mapping
  
  mapping:
  
  EventID: DeviceEventClassID
  
  LogonType: DeviceCustomNumber1
  
  SourceIP: SourceAddress
  
  rule_conditions:
  
  - type: contains_detection_item
  
  field: "EventID"
  
  value: 4624
  
  - id: 4662_CONDITIONAL_MAPPING_logsource_windows_security
  
  type: field_name_mapping
  
  mapping:
  
  EventID: DeviceEventClassID
  
  Properties: FilePermission
  
  rule_conditions:
  
  - type: contains_detection_item
  
  field: "EventID"
  
  value: 4662
  
  - id: 4104_CONDITIONAL_MAPPING_logsource_windows_security
  
  type: field_name_mapping
  
  mapping:
  
  EventID: DeviceEventClassID
  
  ScriptBlockText: Message
  
  rule_conditions:
  
  - type: contains_detection_item
  
  field: "EventID"
  
  value: 4104
  
  - id: 4698_CONDITIONAL_MAPPING_logsource_windows_security
  
  type: field_name_mapping
  
  mapping:
  
  EventID: DeviceEventClassID
  
  TaskName: SourceProcessName
  
  rule_conditions:
  
  - type: contains_detection_item
  
  field: "EventID"
  
  value: '4698'
На вкладке query отобразится конвертированное правило. В результате конвертации вы получите условие WHERE для SQL-запроса.

Вы можете скопировать готовый результат в KUMA, если это запрос или фильтр. Если вы хотите использовать в KUMA правило, можно импортировать в KUMA по одному правилу.

В начало