SigmaOptimizer Cheatsheet

Panoramica

SigmaOptimizer è uno strumento open source sviluppato da NTT DATA che sfrutta Large Language Models (LLMs) per automatizzare la creazione, la convalida e l'ottimizzazione delle regole Sigma. È stato presentato al Black Hat USA 2025 Arsenal.

Caratteristiche chiave

• La Generazione delle Regole Vuote? Utilizza descrizioni del linguaggio naturale per generare regole Sigma.
• ** Validazione automatica**: Convalida le regole generate contro i dati di log reali per garantire l'accuratezza.
• Ottimizzazione delle regole: Ottimizza le regole Sigma esistenti per migliorare le prestazioni e meno falsi positivi.
• Open-Source: Disponibile gratuitamente per l'uso e la modifica.
• Integration: Progettato per lavorare con i flussi di lavoro SIEM esistenti e di sicurezza.

# Come funziona

1. Input: fornire una descrizione della lingua naturale della minaccia che si desidera rilevare (ad esempio, "un utente che accede a un file sensibile al di fuori delle ore di lavoro").
2. LLM Generation: SigmaOptimizer invia la descrizione a un LLM, che genera una regola Sigma corrispondente.
3. Validation: La regola generata viene testata contro un insieme fornito di dati di registro per verificarne la correttezza.
4. Ottimizzazione: La regola viene quindi ottimizzata per prestazioni e precisione.
5. Output: Una regola Sigma pronta all'uso ottimizzata.

Installazione

# (Note: Specific installation instructions will be available in the official repository)

# Example installation (replace with actual commands)
git clone https://github.com/nttdata-security/sigma-optimizer.git
cd sigma-optimizer
pip install -r requirements.txt

Uso

# Example usage (replace with actual commands)

# Generate a new rule from a description
python sigma-optimizer.py generate --description "Detects a user downloading an unusually large amount of data"

# Optimize an existing rule
python sigma-optimizer.py optimize --rule-file /path/to/your/rule.yml

# Validate a rule against log data
python sigma-optimizer.py validate --rule-file /path/to/your/rule.yml --log-file /path/to/your/logs.json

Configurazione

È necessario configurare SigmaOptimizer con la chiave API LLM e specificare il modello che si desidera utilizzare.

# config.yml (example)
llm:
  provider: openai
  api_key: "YOUR_API_KEY"
  model: "gpt-4"

Casi di uso comune

• Rapid Rule Creation: Crea rapidamente nuove regole Sigma per le minacce emergenti.
• Rule Maintenance: Automatizza il processo di ottimizzazione e validazione del set di regole esistenti. Genera regole ad hoc per le spedizioni di caccia alle minacce.
• Operazioni di sicurezza: Migliora l'efficienza e l'efficacia del tuo team di operazioni di sicurezza.

Risorse aggiuntive

• NTT DATA Press Release
• (Link al repository ufficiale GitHub sarà qui quando disponibile)