Zum Inhalt springen

RSigma - Rust Sigma Detection Toolkit Cheatsheet

RSigma - Rust Sigma Detection Toolkit Cheatsheet

RSigma ist ein vollständiger, hochperformanter Rust-Toolkit für den Sigma Detection-Engineering Standard. Es parst Sigma YAML Regeln in einen stark typisierten AST, kompiliert sie in optimierte Matcher, und evaluiert sie gegen Log Events in Echtzeit. Neben Konvertierung (die klassische Sigma Aufgabe) bundelt RSigma einen Parser, Linter, Evaluierungs- und Korrelations-Engine, einen Streaming Runtime Daemon, und MCP sowie LSP Server — was es zur vollständigen Grundlage für Detection-as-Code Pipelines macht.

Installation

MethodeBefehl
Cargocargo install rsigma
Aus Quellcodegit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
BinärDownload von der GitHub Releases Seite
Überprüfenrsigma --version

Core Subcommands

BefehlBeschreibung
rsigma lint rules/Sigma Regeln validieren und bewerten
rsigma convert -t splunk rule.ymlEine Regel in eine Zielabfragesprache konvertieren
rsigma eval -r rule.yml events.jsonlRegeln gegen Log Events evaluieren
rsigma correlate rules/ events.jsonlKorrelationsregeln über Events ausführen
rsigma serveStarten Sie den Streaming Evaluierungs Daemon
rsigma lspFühren Sie den Language Server für Editor-Integration aus
rsigma mcpFühren Sie den MCP Server für AI-Agent Zugriff aus
rsigma --helpVollständige Befehlsreferenz

Linting

# Lint ein Regelverzeichnis, fehlschlagen bei Fehlern (CI-freundlich)
rsigma lint rules/ --fail-on error

# Qualitätsbewertungen über Dimensionen anzeigen
rsigma lint rules/windows/ --format json
DimensionPrüfungen
SyntaxGültiges Sigma Schema/AST
Metadatentitle, id, status, level vorhanden
LogikDetection/Bedingung Konsistenz
FeldnutzungBekannte Felder, Taxonomie Einhaltung
Best PracticesBenaming, False-Positive Notizen
PortabilitätBackend-kompatible Konstrukte

Konvertierung (Detection-as-Code)

RSigma kompiliert eine Sigma Regel in viele SIEM Abfragesprachen.

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
FlagZweck
-t, --targetBackend/Abfragesprache
-p, --pipelineWenden Sie eine Verarbeitungs-Pipeline an (Feldmapping)
-o, --outputIn eine Datei schreiben
--formatAusgabeformat für Batch-Konvertierungen

Evaluierung & Korrelation

# Regeln direkt gegen einen JSONL Event Stream abgleichen
rsigma eval -r rules/ events.jsonl --format json

# Multi-Event Korrelation (z.B. N Ausfälle dann Erfolg)
rsigma correlate -r correlation_rules/ events.jsonl
FähigkeitNutzung
Direkte EvaluierungRegeln auf echten Telemetriedaten ohne SIEM testen
KorrelationZeitliche/Aggregations Regeln über Events
Streaming Daemonrsigma serve evaluiert Live Event Streams
AST CachingKompilierte Matcher für Geschwindigkeit wiederverwendet

Editor & Agent Integration

ServerZweck
rsigma lspAutovervollständigung, Diagnose, Hover in Editoren
rsigma mcpExponiere Sigma Tooling für AI Agents über MCP

CI/CD Pattern

# In einer Detection-as-Code Pipeline:
rsigma lint rules/ --fail-on error          # gate on quality
rsigma eval -r rules/ test-telemetry.jsonl  # verify rules fire
rsigma convert -t sentinel -o out/ rules/   # compile for deployment

RSigma vs Klassisches Sigma Tooling

AspektRSigmasigma-cli (pySigma)
SpracheRustPython
UmfangKonvertieren + Lint + Eval + Korrelieren + ServeKonvertieren (+ Plugins)
Live EvaluierungBuilt-in Streaming DaemonExtern
Editor/AgentLSP + MCP ServerKeine
Beste fürEnd-to-End Detection-as-CodeKonvertierungs-fokussierte Workflows

Ressourcen