Saltar a contenido

SigmaOptimizer Cheatsheet

SigmaOptimizer Cheatsheet

Overview

SigmaOptimizer es una herramienta de código abierto desarrollada por NTT DATA que aprovecha los modelos de lenguaje grande (LLMs) para automatizar la creación, validación y optimización de reglas de Sigma. Fue exhibido en el Black Hat USA 2025 Arsenal.

Características clave

** Generación de Reglas de la LLM**: Utiliza descripciones de lenguaje natural para generar reglas de Sigma. - ** Validación automatizada**: Validates generó reglas contra datos de registro reales para garantizar la exactitud. - ** Optimización de reglas**: Optimiza las reglas de Sigma existentes para un mejor rendimiento y menos falsos positivos. - ** Open-Source**: Disponible gratuitamente para uso y modificación. - Integración: Diseñado para trabajar con SIEM existente y flujos de trabajo de seguridad.

How It Works

  1. ** Entrada**: Proporcionar una descripción del lenguaje natural de la amenaza que desea detectar (por ejemplo, "un usuario que accede a un archivo sensible fuera de las horas de negocio").
  2. ** Generación LLM**: SigmaOptimizer envía la descripción a un LLM, que genera una regla Sigma correspondiente.
  3. Validación: La regla generada se prueba contra un conjunto de datos de registro proporcionado para verificar su corrección.
  4. Optimización: La regla se optimiza para el rendimiento y la precisión.
  5. Output: Una regla de Sigma lista para usar y optimizada.

Instalación

# (Note: Specific installation instructions will be available in the official repository)

# Example installation (replace with actual commands)
git clone https://github.com/nttdata-security/sigma-optimizer.git
cd sigma-optimizer
pip install -r requirements.txt

Usage

# Example usage (replace with actual commands)

# Generate a new rule from a description
python sigma-optimizer.py generate --description "Detects a user downloading an unusually large amount of data"

# Optimize an existing rule
python sigma-optimizer.py optimize --rule-file /path/to/your/rule.yml

# Validate a rule against log data
python sigma-optimizer.py validate --rule-file /path/to/your/rule.yml --log-file /path/to/your/logs.json

Configuración

Usted tendrá que configurar SigmaOptimizer con su clave LLM API y especificar el modelo que desea utilizar.

# config.yml (example)
llm:
  provider: openai
  api_key: "YOUR_API_KEY"
  model: "gpt-4"

Common Use Cases

  • Rapid Rule Creation: Cree rápidamente nuevas reglas de Sigma para amenazas emergentes.
  • Mantenimiento de reglas: Automatizar el proceso de optimizar y validar el conjunto de reglas existente.
  • Threat Hunting: Generar reglas ad-hoc para las expediciones de caza de amenazas.
  • ** Operaciones de seguridad**: Mejorar la eficiencia y eficacia de su equipo de operaciones de seguridad.

Recursos adicionales