Salta ai contenuti

RSigma - Toolkit Rust per il Rilevamento Sigma

RSigma - Toolkit Rust per il Rilevamento Sigma

RSigma è un toolkit Rust completo e ad alte prestazioni per lo standard di rilevamento Sigma. Analizza le regole Sigma YAML in un AST fortemente tipizzato, le compila in matcher ottimizzati e le valuta rispetto agli eventi di log in tempo reale. Oltre alla conversione (il compito classico di Sigma), RSigma include un parser, linter, motore di valutazione e correlazione, un daemon runtime di streaming e server MCP e LSP — rendendolo una base completa per pipeline detection-as-code.

Installazione

MetodoComando
Cargocargo install rsigma
Da sorgentigit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
Binarioscarica dalla pagina GitHub Releases
Verificarsigma --version

Subcomandi Principali

ComandoDescrizione
rsigma lint rules/Valida e assegna un quality score alle regole Sigma
rsigma convert -t splunk rule.ymlConverte una regola in un linguaggio di query di destinazione
rsigma eval -r rule.yml events.jsonlValuta le regole rispetto agli eventi di log
rsigma correlate rules/ events.jsonlEsegue regole di correlazione su più eventi
rsigma serveAvvia il daemon di valutazione di streaming
rsigma lspEsegui il Language Server per l’integrazione con l’editor
rsigma mcpEsegui il server MCP per l’accesso degli agenti IA
rsigma --helpRiferimento completo dei comandi

Linting

# Lint una directory di regole, fallisce su errori (amico del CI)
rsigma lint rules/ --fail-on error

# Mostra quality score su tutte le dimensioni
rsigma lint rules/windows/ --format json
DimensioneControlli
SintassiSchema Sigma valido / AST
Metadatititle, id, status, level presenti
LogicaCoerenza tra Detection e condition
Utilizzo dei campiCampi noti, conformità alla tassonomia
Best practiceNaming, note su false positive
PortabilitàCostrutti compatibili con il backend

Conversione (Detection-as-Code)

RSigma compila una regola Sigma in molti linguaggi di query SIEM.

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
FlagScopo
-t, --targetBackend / linguaggio di query
-p, --pipelineApplica una pipeline di elaborazione (field mappings)
-o, --outputScrivi su un file
--formatFormato di output per conversioni batch

Valutazione e Correlazione

# Abbina le regole direttamente su un flusso di eventi JSONL
rsigma eval -r rules/ events.jsonl --format json

# Correlazione multi-evento (es. N fallimenti quindi successo)
rsigma correlate -r correlation_rules/ events.jsonl
CapacitàUso
Valutazione direttaTesta le regole su telemetria reale senza un SIEM
CorrelazioneRegole temporali/aggregazione su più eventi
Daemon di streamingrsigma serve valuta flussi di eventi live
Caching ASTI matcher compilati sono riutilizzati per la velocità

Integrazione con Editor e Agenti

ServerScopo
rsigma lspAutocomplete, diagnostica, hover negli editor
rsigma mcpEsponi gli strumenti Sigma agli agenti IA tramite MCP

Pattern CI/CD

# In una pipeline detection-as-code:
rsigma lint rules/ --fail-on error          # gate sulla quality
rsigma eval -r rules/ test-telemetry.jsonl  # verifica che le regole scattino
rsigma convert -t sentinel -o out/ rules/   # compila per il deployment

RSigma vs Strumenti Sigma Classici

AspettoRSigmasigma-cli (pySigma)
LinguaggioRustPython
PortataConvert + lint + eval + correlate + serveConvert (+ plugin)
Valutazione liveDaemon di streaming integratoEsterno
Editor/agenteServer LSP + MCPNessuno
Migliore perPipeline detection-as-code end-to-endFlussi di lavoro incentrati sulla conversione

Risorse