RSigma - مجموعة أدوات كشف Sigma من Rust
RSigma هي مجموعة أدوات Rust كاملة وعالية الأداء لمعيار كشف Sigma. يتم تحليل قواعد Sigma YAML إلى AST بنوع قوي، وتجميعها في محركات متقدة محسّنة، وتقييمها مقابل أحداث السجل في الوقت الفعلي. بخلاف التحويل (وظيفة Sigma الكلاسيكية)، تأتي RSigma مع محلل، معقق، محرك تقييم وارتباط، خادم بث في الوقت الفعلي، وخوادم MCP و LSP — مما يجعلها أساسًا شاملاً لأنابيب الكشف كرمز.
التثبيت
| الطريقة | الأمر |
|---|
| Cargo | cargo install rsigma |
| من المصدر | git clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release |
| ملف ثنائي | قم بالتحميل من صفحة GitHub Releases |
| التحقق | rsigma --version |
الأوامر الأساسية
| الأمر | الوصف |
|---|
rsigma lint rules/ | التحقق من صحة وتقييم جودة قواعد Sigma |
rsigma convert -t splunk rule.yml | تحويل القاعدة إلى لغة الاستعلام المستهدفة |
rsigma eval -r rule.yml events.jsonl | تقييم القواعد مقابل أحداث السجل |
rsigma correlate rules/ events.jsonl | تشغيل قواعد الارتباط عبر الأحداث |
rsigma serve | بدء خادم التقييم البثي |
rsigma lsp | تشغيل خادم Language Server للتكامل مع المحرر |
rsigma mcp | تشغيل خادم MCP لوصول وكيل AI |
rsigma --help | مرجع الأمر الكامل |
معقق
# معقق دليل القواعد، فشل على الأخطاء (صديق CI)
rsigma lint rules/ --fail-on error
# إظهار درجات الجودة عبر الأبعاد
rsigma lint rules/windows/ --format json
| البعد | الفحوصات |
|---|
| بناء الجملة | مخطط Sigma صحيح/AST |
| البيانات الوصفية | العنوان والمعرف والحالة والمستوى الحالية |
| المنطق | اتساق الكشف/الشروط |
| استخدام الحقول | الحقول المعروفة والامتثال للتصنيف |
| أفضل الممارسات | التسمية وملاحظات الإيجابيات الخاطئة |
| قابلية النقل | الإنشاءات المتوافقة مع الواجهة الخلفية |
التحويل (الكشف كرمز)
RSigma تجميع قاعدة Sigma واحدة إلى العديد من لغات استعلام SIEM.
rsigma convert -t splunk rule.yml # Splunk SPL
rsigma convert -t elasticsearch rule.yml # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml # QRadar AQL
| العلم | الغرض |
|---|
-t, --target | الواجهة الخلفية/لغة الاستعلام |
-p, --pipeline | تطبيق خط معالجة (تعيينات الحقول) |
-o, --output | الكتابة إلى ملف |
--format | تنسيق الإخراج لتحويلات الدفعات |
التقييم والارتباط
# مطابقة القواعس مباشرة مقابل تدفق أحداث JSONL
rsigma eval -r rules/ events.jsonl --format json
# ارتباط متعدد الأحداث (مثل N الفشل ثم النجاح)
rsigma correlate -r correlation_rules/ events.jsonl
| الإمكانية | الاستخدام |
|---|
| التقييم المباشر | اختبار القواعد على الكشف الفعلي بدون SIEM |
| الارتباط | قواعس الوقت/التجميع عبر الأحداث |
| خادم البث | rsigma serve يقيّم تدفقات الأحداث الحية |
| تخزين AST مؤقت | محركات متقدة معاد استخدامها للسرعة |
تكامل المحرر والوكيل
| الخادم | الغرض |
|---|
rsigma lsp | الإكمال التلقائي والتشخيص والشرح الموجز في المحررات |
rsigma mcp | فضح أدوات Sigma للوكلاء عبر MCP |
نمط CI/CD
# في أنابيب الكشف كرمز:
rsigma lint rules/ --fail-on error # بوابة الجودة
rsigma eval -r rules/ test-telemetry.jsonl # التحقق من إطلاق القواعس
rsigma convert -t sentinel -o out/ rules/ # جمع للنشر
RSigma مقابل أدوات Sigma الكلاسيكية
| الجانب | RSigma | sigma-cli (pySigma) |
|---|
| اللغة | Rust | Python |
| النطاق | تحويل + معقق + تقييم + ارتباط + بث | تحويل (+ الإضافات) |
| التقييم الحي | خادم بث مدمج | خارجي |
| المحرر/الوكيل | خوادم LSP + MCP | لا أحد |
| الأفضل لـ | الكشف كرمز من نهاية إلى نهاية | سير عمل التحويل المركز |
موارد