RSigma - Rust Sigma 検出ツールキット チートシート
RSigma は Sigma 検出エンジニアリング標準用の完全で高性能な Rust ツールキットです。Sigma YAML ルールを厳密に型付けされた AST に解析し、最適化されたマッチャーにコンパイルし、ログイベントをリアルタイムで評価します。変換というクラシックな Sigma の仕事に加えて、RSigma はパーサー、リンター、評価・相関エンジン、ストリーミング実行時デーモン、および MCP と LSP サーバーを一つ (別のフレームワークではなく) のファウンデーションで提供します。これらは検出を基盤としたコードパイプラインを構築するための基盤を形成します。
インストール
| 方法 | コマンド |
|---|
| Cargo | cargo install rsigma |
| ソースから | git clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release |
| バイナリ | GitHub Releases ページからダウンロード |
| 確認 | rsigma --version |
コアサブコマンド
| コマンド | 説明 |
|---|
rsigma lint rules/ | Sigma ルールを検証し品質をスコア化 |
rsigma convert -t splunk rule.yml | ルールをターゲットクエリ言語に変換 |
rsigma eval -r rule.yml events.jsonl | ログイベント対してルールを評価 |
rsigma correlate rules/ events.jsonl | イベント間で相関ルールを実行 |
rsigma serve | ストリーミング評価デーモンを起動 |
rsigma lsp | エディター統合用の言語サーバーを実行 |
rsigma mcp | AI エージェント用の MCP サーバーを実行 |
rsigma --help | 完全なコマンドリファレンス |
リンティング
# ルールディレクトリをリント、エラーで失敗 (CI フレンドリー)
rsigma lint rules/ --fail-on error
# 複数の次元で品質スコアを表示
rsigma lint rules/windows/ --format json
| 次元 | チェック |
|---|
| 構文 | 有効な Sigma スキーマ/AST |
| メタデータ | title, id, status, level が存在 |
| ロジック | 検出/条件の一貫性 |
| フィールド使用 | 既知フィールド、分類法対応 |
| ベストプラクティス | 命名、誤検知注記 |
| 移植性 | バックエンド互換のコンストラクト |
変換 (検出を基盤としたコード)
RSigma は 1 つの Sigma ルールを多くの SIEM クエリ言語にコンパイルします。
rsigma convert -t splunk rule.yml # Splunk SPL
rsigma convert -t elasticsearch rule.yml # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml # QRadar AQL
| フラグ | 目的 |
|---|
-t, --target | バックエンド/クエリ言語 |
-p, --pipeline | 処理パイプラインを適用 (フィールドマッピング) |
-o, --output | ファイルに出力 |
--format | バッチ変換の出力形式 |
評価と相関分析
# ルールを直接 JSONL イベントストリームに対してマッチ
rsigma eval -r rules/ events.jsonl --format json
# マルチイベント相関 (例: N 回の失敗の後に成功)
rsigma correlate -r correlation_rules/ events.jsonl
| 機能 | 用途 |
|---|
| 直接評価 | SIEM なしで実際のテレメトリーに対してルールをテスト |
| 相関分析 | イベント間の時間的/集約ルール |
| ストリーミングデーモン | rsigma serve でライブイベントストリームを評価 |
| AST キャッシング | コンパイル済みマッチャーを高速のため再利用 |
エディターとエージェント統合
| サーバー | 目的 |
|---|
rsigma lsp | エディター内で自動完成、診断、ホバーを提供 |
rsigma mcp | MCP 経由で Sigma ツーリングを AI エージェントに公開 |
CI/CD パターン
# 検出を基盤としたコードパイプラインの中:
rsigma lint rules/ --fail-on error # 品質でゲート
rsigma eval -r rules/ test-telemetry.jsonl # ルールが発火することを確認
rsigma convert -t sentinel -o out/ rules/ # デプロイ用にコンパイル
RSigma vs クラシック Sigma ツーリング
| アスペクト | RSigma | sigma-cli (pySigma) |
|---|
| 言語 | Rust | Python |
| スコープ | 変換 + リント + 評価 + 相関 + サーブ | 変換 (+ プラグイン) |
| ライブ評価 | 組み込みストリーミングデーモン | 外部 |
| エディター/エージェント | LSP + MCP サーバー | なし |
| 最適な用途 | エンドツーエンドの検出を基盤としたコード | 変換フォーカスのワークフロー |
リソース