Implémentation de Sigma

Lynow · January 26, 2022, 1:27pm

Bonjour,

J'ai récemment configuré une architecture de surveillance, veille, réponse à incident via MISP, TheHive, Cortex, Wazuh, Elasticsearch et j'en passe.

Je souhaite que les adresses IP malveillantes notées dans Elasticsearch/Kibana soient envoyées à la suite TheHive/MISP.

Cependant, je n'ai pas compris comment configurer et installer Sigma afin qu'il puisse être utilisé en corrélation avec Elasticsearch.

J'ai installé le référentiel Sigma à partir de ce lien :

Dans la documentation, il est expliqué comment fonctionne les règles. Tout d'abord, j'aimerais comprendre comment configurer Sigma, notamment en indiquant l'adresse du serveur à laquelle il va devoir aller chercher les informations.

PS : Par spécification, je n'utiliserai pas Elastalert mais bien uniquement Sigma (et non le plugin UI)

Lynow

danisan · January 28, 2022, 6:43pm

Hi,
Sigma rules are not supported by Wazuh. The team is porting them to Wazuh rule format and they will be added in future releases.
There are some scripts that should convert Sigma rules to Wazuh, notice that these are not official:
GitHub - SanWieb/sigWah: A Sigma to Wazuh / OSSEC converter including a generated Windows Sysmon ruleset
GitHub - theflakes/sigma_to_wazuh: Convert Sigma rules to Wazuh rules
GitHub - sametsazak/sysmon: Sysmon and wazuh integration with Sigma sysmon rules [updated]
I haven't been able to test them myself but perhaps you will find them useful.
Regards

system · February 25, 2022, 6:43pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.