Ir al contenido

RSigma - Hoja de Referencia del Kit de Detección Sigma en Rust

RSigma - Hoja de Referencia del Kit de Detección Sigma en Rust

RSigma es un kit de herramientas completo y de alto rendimiento en Rust para el estándar de ingeniería de detección Sigma. Analiza reglas Sigma en YAML hacia un AST fuertemente tipado, las compila en comparadores optimizados y las evalúa contra eventos de registro en tiempo real. Más allá de la conversión (el trabajo clásico de Sigma), RSigma agrupa un analizador, un linter, un motor de evaluación y correlación, un demonio de runtime de streaming, y servidores MCP y LSP — lo que lo convierte en una base integral para pipelines de detección-como-código.

Instalación

MétodoComando
Cargocargo install rsigma
Desde el código fuentegit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
Binariodescarga desde la página de GitHub Releases
Verificarrsigma --version

Subcomandos Principales

ComandoDescripción
rsigma lint rules/Validar y puntuar la calidad de las reglas Sigma
rsigma convert -t splunk rule.ymlConvertir una regla a un lenguaje de consulta de destino
rsigma eval -r rule.yml events.jsonlEvaluar reglas contra eventos de registro
rsigma correlate rules/ events.jsonlEjecutar reglas de correlación entre eventos
rsigma serveIniciar el demonio de evaluación en streaming
rsigma lspEjecutar el Language Server para integración con editores
rsigma mcpEjecutar el servidor MCP para acceso de agentes de IA
rsigma --helpReferencia completa de comandos

Linting

# Analizar un directorio de reglas, fallar ante errores (apto para CI)
rsigma lint rules/ --fail-on error

# Mostrar puntuaciones de calidad por dimensión
rsigma lint rules/windows/ --format json
DimensiónComprueba
SintaxisAST/esquema Sigma válido
Metadatostitle, id, status, level presentes
LógicaConsistencia de detección/condición
Uso de camposCampos conocidos, cumplimiento de la taxonomía
Buenas prácticasNomenclatura, notas de falsos positivos
PortabilidadConstrucciones compatibles con el backend

Conversión (Detección-como-Código)

RSigma compila una regla Sigma a muchos lenguajes de consulta de SIEM.

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
FlagPropósito
-t, --targetBackend/lenguaje de consulta
-p, --pipelineAplicar un pipeline de procesamiento (mapeos de campos)
-o, --outputEscribir a un archivo
--formatFormato de salida para conversiones por lotes

Evaluación y Correlación

# Comparar reglas directamente contra un flujo de eventos JSONL
rsigma eval -r rules/ events.jsonl --format json

# Correlación de múltiples eventos (p. ej. N fallos seguidos de un éxito)
rsigma correlate -r correlation_rules/ events.jsonl
CapacidadUso
Evaluación directaProbar reglas sobre telemetría real sin un SIEM
CorrelaciónReglas temporales/de agregación entre eventos
Demonio de streamingrsigma serve evalúa flujos de eventos en vivo
Caché de ASTComparadores compilados reutilizados para mayor velocidad

Integración con Editores y Agentes

ServidorPropósito
rsigma lspAutocompletado, diagnósticos, hover en editores
rsigma mcpExponer las herramientas Sigma a agentes de IA vía MCP

Patrón CI/CD

# En un pipeline de detección-como-código:
rsigma lint rules/ --fail-on error          # controlar por calidad
rsigma eval -r rules/ test-telemetry.jsonl  # verificar que las reglas se disparen
rsigma convert -t sentinel -o out/ rules/   # compilar para el despliegue

RSigma frente al Tooling Clásico de Sigma

AspectoRSigmasigma-cli (pySigma)
LenguajeRustPython
AlcanceConvertir + lint + eval + correlación + serveConvertir (+ plugins)
Evaluación en vivoDemonio de streaming integradoExterno
Editor/agenteServidores LSP + MCPNinguno
Mejor paraDetección-como-código de extremo a extremoFlujos centrados en conversión

Recursos