Pular para o conteúdo

RSigma - Kit de Detecção Rust Sigma

RSigma - Kit de Detecção Rust Sigma

RSigma é um kit completo e de alto desempenho em Rust para o padrão de detecção Sigma. Ele analisa regras Sigma YAML em uma AST fortemente tipada, as compila em correspondências otimizadas e as avalia contra eventos de log em tempo real. Além de conversão (o trabalho clássico do Sigma), RSigma agrupa um analisador, linter, mecanismo de avaliação e correlação, um daemon de tempo de execução de streaming e servidores MCP e LSP — tornando-o uma fundação completa para pipelines de detecção como código.

Instalação

MétodoComando
Cargocargo install rsigma
A partir do código-fontegit clone https://github.com/timescale/rsigma && cd rsigma && cargo build --release
Bináriofaça download da página de Releases do GitHub
Verificarrsigma --version

Subcomandos Principais

ComandoDescrição
rsigma lint rules/Valide e classifique a qualidade das regras Sigma
rsigma convert -t splunk rule.ymlConverta uma regra para uma linguagem de query de destino
rsigma eval -r rule.yml events.jsonlAvalie regras contra eventos de log
rsigma correlate rules/ events.jsonlExecute regras de correlação entre eventos
rsigma serveInicie o daemon de avaliação de streaming
rsigma lspExecute o Servidor de Linguagem para integração de editor
rsigma mcpExecute o servidor MCP para acesso de agente AI
rsigma --helpReferência de comando completa

Linting

# Analise um diretório de regras, falhe em erros (amigável para CI)
rsigma lint rules/ --fail-on error

# Mostre pontuações de qualidade entre dimensões
rsigma lint rules/windows/ --format json
DimensãoVerificações
SintaxeSchema Sigma válido/AST
Metadadostitle, id, status, level presentes
LógicaConsistência de detecção/condição
Uso de campoCampos conhecidos, conformidade de taxonomia
Melhores práticasNomenclatura, notas de falsos positivos
PortabilidadeConstruções compatíveis com backend

Conversão (Detecção como Código)

RSigma compila uma regra Sigma para muitas linguagens de query SIEM.

rsigma convert -t splunk rule.yml            # Splunk SPL
rsigma convert -t elasticsearch rule.yml     # Elastic DSL / EQL
rsigma convert -t sentinel rule.yml          # Microsoft Sentinel KQL
rsigma convert -t qradar rule.yml            # QRadar AQL
FlagPropósito
-t, --targetBackend/linguagem de query
-p, --pipelineAplique um pipeline de processamento (mapeamentos de campo)
-o, --outputEscreva para um arquivo
--formatFormato de saída para conversões em lote

Avaliação e Correlação

# Corresponda regras diretamente contra um stream de eventos JSONL
rsigma eval -r rules/ events.jsonl --format json

# Correlação multi-evento (ex: N falhas depois sucesso)
rsigma correlate -r correlation_rules/ events.jsonl
CapacidadeUso
Avaliação diretaTeste regras em telemetria real sem um SIEM
CorrelaçãoRegras temporais/agregação entre eventos
Daemon de streamingrsigma serve avalia streams de eventos em tempo real
Cache de ASTCorrespondências compiladas reutilizadas para velocidade

Editor e Integração de Agente

ServidorPropósito
rsigma lspAutocompletar, diagnósticos, hover em editores
rsigma mcpExponha ferramentas Sigma para agentes AI via MCP

Padrão CI/CD

# Em um pipeline de detecção como código:
rsigma lint rules/ --fail-on error          # gate na qualidade
rsigma eval -r rules/ test-telemetry.jsonl  # verifique que as regras disparam
rsigma convert -t sentinel -o out/ rules/   # compile para implantação

RSigma vs Tooling Sigma Clássico

AspectoRSigmasigma-cli (pySigma)
LinguagemRustPython
EscopoConverter + lint + eval + correlate + serveConverter (+ plugins)
Avaliação em tempo realDaemon de streaming integradoExterno
Editor/agenteServidores LSP + MCPNenhum
Melhor paraPipeline de detecção como código end-to-endWorkflows focados em conversão

Recursos