تخطَّ إلى المحتوى

RSigma - مجموعة أدوات كشف Sigma من Rust

RSigma - مجموعة أدوات كشف Sigma من Rust

RSigma هي مجموعة أدوات Rust كاملة وعالية الأداء لمعيار كشف Sigma. يتم تحليل قواعد Sigma YAML إلى AST بنوع قوي، وتجميعها في محركات متقدة محسّنة، وتقييمها مقابل أحداث السجل في الوقت الفعلي. بخلاف التحويل (وظيفة Sigma الكلاسيكية)، تأتي RSigma مع محلل، معقق، محرك تقييم وارتباط، خادم بث في الوقت الفعلي، وخوادم MCP و LSP — مما يجعلها أساسًا شاملاً لأنابيب الكشف كرمز.

التثبيت

الطريقةالأمر
Cargocargo install rsigma
من المصدرgit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
ملف ثنائيقم بالتحميل من صفحة GitHub Releases
التحققrsigma --version

الأوامر الأساسية

الأمرالوصف
rsigma lint rules/التحقق من صحة وتقييم جودة قواعد Sigma
rsigma convert -t splunk rule.ymlتحويل القاعدة إلى لغة الاستعلام المستهدفة
rsigma eval -r rule.yml events.jsonlتقييم القواعد مقابل أحداث السجل
rsigma correlate rules/ events.jsonlتشغيل قواعد الارتباط عبر الأحداث
rsigma serveبدء خادم التقييم البثي
rsigma lspتشغيل خادم Language Server للتكامل مع المحرر
rsigma mcpتشغيل خادم MCP لوصول وكيل AI
rsigma --helpمرجع الأمر الكامل

معقق

# معقق دليل القواعد، فشل على الأخطاء (صديق CI)
rsigma lint rules/ --fail-on error

# إظهار درجات الجودة عبر الأبعاد
rsigma lint rules/windows/ --format json
البعدالفحوصات
بناء الجملةمخطط Sigma صحيح/AST
البيانات الوصفيةالعنوان والمعرف والحالة والمستوى الحالية
المنطقاتساق الكشف/الشروط
استخدام الحقولالحقول المعروفة والامتثال للتصنيف
أفضل الممارساتالتسمية وملاحظات الإيجابيات الخاطئة
قابلية النقلالإنشاءات المتوافقة مع الواجهة الخلفية

التحويل (الكشف كرمز)

RSigma تجميع قاعدة Sigma واحدة إلى العديد من لغات استعلام SIEM.

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
العلمالغرض
-t, --targetالواجهة الخلفية/لغة الاستعلام
-p, --pipelineتطبيق خط معالجة (تعيينات الحقول)
-o, --outputالكتابة إلى ملف
--formatتنسيق الإخراج لتحويلات الدفعات

التقييم والارتباط

# مطابقة القواعس مباشرة مقابل تدفق أحداث JSONL
rsigma eval -r rules/ events.jsonl --format json

# ارتباط متعدد الأحداث (مثل N الفشل ثم النجاح)
rsigma correlate -r correlation_rules/ events.jsonl
الإمكانيةالاستخدام
التقييم المباشراختبار القواعد على الكشف الفعلي بدون SIEM
الارتباطقواعس الوقت/التجميع عبر الأحداث
خادم البثrsigma serve يقيّم تدفقات الأحداث الحية
تخزين AST مؤقتمحركات متقدة معاد استخدامها للسرعة

تكامل المحرر والوكيل

الخادمالغرض
rsigma lspالإكمال التلقائي والتشخيص والشرح الموجز في المحررات
rsigma mcpفضح أدوات Sigma للوكلاء عبر MCP

نمط CI/CD

# في أنابيب الكشف كرمز:
rsigma lint rules/ --fail-on error          # بوابة الجودة
rsigma eval -r rules/ test-telemetry.jsonl  # التحقق من إطلاق القواعس
rsigma convert -t sentinel -o out/ rules/   # جمع للنشر

RSigma مقابل أدوات Sigma الكلاسيكية

الجانبRSigmasigma-cli (pySigma)
اللغةRustPython
النطاقتحويل + معقق + تقييم + ارتباط + بثتحويل (+ الإضافات)
التقييم الحيخادم بث مدمجخارجي
المحرر/الوكيلخوادم LSP + MCPلا أحد
الأفضل لـالكشف كرمز من نهاية إلى نهايةسير عمل التحويل المركز

موارد