コンテンツにスキップ

RSigma - Rust Sigma 検出ツールキット チートシート

RSigma - Rust Sigma 検出ツールキット チートシート

RSigma は Sigma 検出エンジニアリング標準用の完全で高性能な Rust ツールキットです。Sigma YAML ルールを厳密に型付けされた AST に解析し、最適化されたマッチャーにコンパイルし、ログイベントをリアルタイムで評価します。変換というクラシックな Sigma の仕事に加えて、RSigma はパーサー、リンター、評価・相関エンジン、ストリーミング実行時デーモン、および MCP と LSP サーバーを一つ (別のフレームワークではなく) のファウンデーションで提供します。これらは検出を基盤としたコードパイプラインを構築するための基盤を形成します。

インストール

方法コマンド
Cargocargo install rsigma
ソースからgit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
バイナリGitHub Releases ページからダウンロード
確認rsigma --version

コアサブコマンド

コマンド説明
rsigma lint rules/Sigma ルールを検証し品質をスコア化
rsigma convert -t splunk rule.ymlルールをターゲットクエリ言語に変換
rsigma eval -r rule.yml events.jsonlログイベント対してルールを評価
rsigma correlate rules/ events.jsonlイベント間で相関ルールを実行
rsigma serveストリーミング評価デーモンを起動
rsigma lspエディター統合用の言語サーバーを実行
rsigma mcpAI エージェント用の MCP サーバーを実行
rsigma --help完全なコマンドリファレンス

リンティング

# ルールディレクトリをリント、エラーで失敗 (CI フレンドリー)
rsigma lint rules/ --fail-on error

# 複数の次元で品質スコアを表示
rsigma lint rules/windows/ --format json
次元チェック
構文有効な Sigma スキーマ/AST
メタデータtitle, id, status, level が存在
ロジック検出/条件の一貫性
フィールド使用既知フィールド、分類法対応
ベストプラクティス命名、誤検知注記
移植性バックエンド互換のコンストラクト

変換 (検出を基盤としたコード)

RSigma は 1 つの Sigma ルールを多くの SIEM クエリ言語にコンパイルします。

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
フラグ目的
-t, --targetバックエンド/クエリ言語
-p, --pipeline処理パイプラインを適用 (フィールドマッピング)
-o, --outputファイルに出力
--formatバッチ変換の出力形式

評価と相関分析

# ルールを直接 JSONL イベントストリームに対してマッチ
rsigma eval -r rules/ events.jsonl --format json

# マルチイベント相関 (例: N 回の失敗の後に成功)
rsigma correlate -r correlation_rules/ events.jsonl
機能用途
直接評価SIEM なしで実際のテレメトリーに対してルールをテスト
相関分析イベント間の時間的/集約ルール
ストリーミングデーモンrsigma serve でライブイベントストリームを評価
AST キャッシングコンパイル済みマッチャーを高速のため再利用

エディターとエージェント統合

サーバー目的
rsigma lspエディター内で自動完成、診断、ホバーを提供
rsigma mcpMCP 経由で Sigma ツーリングを AI エージェントに公開

CI/CD パターン

# 検出を基盤としたコードパイプラインの中:
rsigma lint rules/ --fail-on error          # 品質でゲート
rsigma eval -r rules/ test-telemetry.jsonl  # ルールが発火することを確認
rsigma convert -t sentinel -o out/ rules/   # デプロイ用にコンパイル

RSigma vs クラシック Sigma ツーリング

アスペクトRSigmasigma-cli (pySigma)
言語RustPython
スコープ変換 + リント + 評価 + 相関 + サーブ変換 (+ プラグイン)
ライブ評価組み込みストリーミングデーモン外部
エディター/エージェントLSP + MCP サーバーなし
最適な用途エンドツーエンドの検出を基盤としたコード変換フォーカスのワークフロー

リソース