Ahoj! Jsem

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Kontaktujte Mě

O Mně

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Mé Dovednosti

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatizace Procesů

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Systémy na Míru

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Mé Poslání

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Demokratizovat Technologie

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Propojení IT a Ekonomiky

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Tvorba Řešení na Míru

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Transformujte Své Podnikání Technologiemi

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Pojďme si Promluvit →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Kontaktujte Mě

Máte projekt na mysli? Pojďme si promluvit! Vyplňte formulář a brzy se ozvu.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

Pravidla Sigma: Univerzální detekční logika a SIEM konverze

Ve světě defenzivní kybernetické bezpečnosti byl vždy jedním z nejtrvalejších problémů a fragmentace detekčních jazyků: Každý SIEM má svou vlastní syntaxi proprietární, každá platforma vyžaduje jiné dotazy a pravidla napsaná pro Splunk nefungují na Elastic, který zase není kompatibilní s Microsoft Sentinel. Výsledkem je, že týmy SOC tráví obrovské množství času jejich přepisováním detekční logika pro každý nástroj, spíše než se zaměřovat na to, co je skutečně důležité: najít hrozby dříve, než způsobí škodu.

Le Pravidla Sigmy se narodili právě proto, aby tento problém vyřešili. Sigma, kterou představili Florian Roth a Thomas Patzke, je dnes de facto standardním formátem psát pravidla detekce přenosným a na platformě nezávislým způsobem. Jednou napsané pravidlo Sigma lze automaticky převést na dotaz Splunk SPL, Elasticsearch KQL, Microsoft Sentinel KQL, IBM QRadar, Chronicle YARA-L, a více než 40 dalších cílů. V tomto článku prozkoumáme syntaxi Sigma do hloubky, logsource mapovací vzory, editační a konverzní techniky a jak je integrovat Sigma v moderním kanálu Detection-as-Code.

Co se dozvíte v tomto článku

Kompletní struktura pravidla Sigma: název, zdroj protokolu, detekce, podmínka
Mapování logsource: kategorie, produkt, služba a jak se převádějí do SIEM
Pokročilé modifikátory: obsahuje, začíná, končí, znovu, base64offset
Podmínky agregace: počet, součet, min, max pro statistiku detekce
Automatická konverze se sigma-cli na Splunk, Elastic a Sentinel
Vzor pro detekci laterálního pohybu, persistence, exfiltrace
Testování a validace pravidel Sigma se syntetickými daty
Správa firemního úložiště Sigma s osvědčenými postupy

Co je Sigma a proč se stala standardem

Sigma je otevřený formát založený na YAML pro popis vzorců detekce na bezpečnostních protokolech způsobem nezávislým na platformě. Představte si to jako YARA pro kulatinu: stejně jako vám YARA umožňuje psát pravidla pro škodlivé soubory, které fungují na jakémkoli skeneru, vám Sigma umožňuje zapisovat detekční pravidla, která fungují na jakémkoli SIEM.

Projekt SigmaHQ dnes hostí více 3000 komunitních pravidel pokryto nepřetržitou údržbou, namapováno na rámec MITER ATT&CK a připraveno být převeden. Růst byl explozivní: od specializovaného nástroje až po lovci hrozeb, Sigma se stala běžným jazykem detekčních inženýrů profesionálové. Hlavní výhody jsou tři:

Přenosnost: napsat pravidlo, nasadit ho do N různých SIEM
Spolupráce: pravidla jsou čitelná pro každého, bez ohledu na používaný SIEM
Automatizace: převod je v CI/CD zcela automatizovatelný

Anatomie pravidla Sigma

Pravidlo Sigma a soubor YAML s dobře definovanými poli. Podívejme se na strukturu doplněný skutečným příkladem, který poukazuje na použití mimikatz prostřednictvím Protokoly událostí systému Windows:

title: Mimikatz Detection via Windows Security Events
id: 0d82df6e-0e4e-4fbb-a12b-6e7a00a9c7c3
status: stable
description: Detects mimikatz usage patterns via LSASS access events
  and command-line indicators
references:
  - https://github.com/gentilkiwi/mimikatz
  - https://attack.mitre.org/techniques/T1003/001/
author: Federico Calo
date: 2026/03/01
modified: 2026/03/09
tags:
  - attack.credential_access
  - attack.t1003.001
  - attack.defense_evasion
logsource:
  category: process_access
  product: windows
detection:
  selection_lsass:
    TargetImage|endswith: '\lsass.exe'
    GrantedAccess|contains:
      - '0x1010'
      - '0x1038'
      - '0x1400'
      - '0x143a'
  selection_mimikatz_cli:
    CommandLine|contains|all:
      - 'sekurlsa'
      - 'logonpasswords'
  filter_legitimate:
    SourceImage|startswith:
      - 'C:\Windows\System32\'
      - 'C:\Program Files\Windows Defender\'
  condition: (selection_lsass and not filter_legitimate) or selection_mimikatz_cli
falsepositives:
  - Legitimate security tools performing LSASS inspection
  - Antivirus and EDR solutions
level: high

Pojďme analyzovat každou sekci podrobně:

Povinná pole a metadata

Blok metadat na začátku pravidla je určen pro dokumentaci že pro automatizaci řízení:

titul: čitelný název pravidla. Musí to být jedinečné a popisný. Konvence: "Sloveso + Předmět + Kontext"
id: Unikátní UUID v4. Časem se to nikdy nemění, dovolte sledování verzí a falešně pozitivních zpráv
postavení: životní cyklus pravidla. Platné hodnoty jsou: stable, test, experimental, deprecated, unsupported
úroveň: závažnost. Hodnoty: informational, low, medium, high, critical
značky: Seznam značek MITRE ATT&CK ve formátu attack.t<ID> pro techniky popř attack.<tactic> pro taktiku

Logsource: Srdce přenositelnosti

Blok logsource a kouzlo, díky kterému je Sigma přenosná. Místo určení indexu nebo datového toku specifického pro SIEM, definuje typ protokolu abstraktně prostřednictvím tří polí:

# Esempio 1: Windows Security Events
logsource:
  category: process_creation
  product: windows

# Esempio 2: Linux Authentication
logsource:
  category: process_creation
  product: linux

# Esempio 3: Web Server Logs
logsource:
  category: webserver
  # nessun product specifico: generico

# Esempio 4: Log specifico di un servizio
logsource:
  product: windows
  service: security

# Esempio 5: Log di rete
logsource:
  category: network_connection
  product: windows

# Esempio 6: Cloud Trail
logsource:
  product: aws
  service: cloudtrail

Potrubní systém sigma-cli převádí tyto abstraktní logsources do konkrétní cesty každého SIEM. Například, category: process_creation su product: windows se stává:

SIEM cíl	Logsource překlad
Splunk	`source="WinEventLog:Security" EventCode=4688`
Elasticsearch (ECS)	`event.category:process AND event.type:start`
Microsoft Sentinel (KQL)	`SecurityEvent \| where EventID == 4688`
Kronika (YARA-L)	`$event.metadata.event_type = "PROCESS_LAUNCH"`

Detekce: Výběry a podmínky

Blok detekce a kde je definována detekční logika. Skládá se ze dvou částí: výběry (filtry v polích protokolu) a stav (Booleovská logika, která kombinuje výběry).

detection:
  # Selection con match esatto su campo singolo
  selection_exact:
    EventID: 4625

  # Selection con lista di valori (OR implicito)
  selection_multi_value:
    CommandLine|contains:
      - 'net user'
      - 'net localgroup'
      - 'whoami'

  # Selection con match su tutti i valori (AND implicito con |all)
  selection_and_all:
    CommandLine|contains|all:
      - '-enc'
      - 'powershell'

  # Selection con regex
  selection_regex:
    CommandLine|re: '(?i)(invoke-mimikatz|sekurlsa::)'

  # Selection con wildcard
  selection_wildcard:
    TargetFilename|startswith: 'C:\Users\'
    TargetFilename|endswith: '.exe'

  # Filter per ridurre i falsi positivi
  filter_system_processes:
    ParentImage|startswith: 'C:\Windows\System32\'

  # Condition: logica booleana
  condition: selection_exact and (
    selection_multi_value or selection_and_all
  ) and not filter_system_processes

Pokročilé modifikátory

I modifikátory jsou to přípony, které se přidávají k názvům polí s dýmkovým charakterem | změnit typ shody. Znát je všechny je nezbytné pro napsání účinných pravidel:

Modifikátor	Popis	Příklad
`contains`	Shoda podřetězců (zástupný znak na obou stranách)	`CommandLine\|contains: 'mimikatz'`
`startswith`	Shoda na začátku hodnoty	`Image\|startswith: 'C:\Users\'`
`endswith`	Shoda na konci hodnoty	`Image\|endswith: '\cmd.exe'`
`re`	Regex PCRE	`CommandLine\|re: '(?i)sekurlsa'`
`base64offset`	Base64 dekódování s offsetem 0,1,2	`CommandLine\|base64offset\|contains: 'IEX'`
`wide`	Shoda na širokých řetězcích Unicode	`CommandLine\|wide\|contains: 'sekurlsa'`
`all`	Všechny hodnoty v seznamu se musí shodovat	`CommandLine\|contains\|all: ['-enc', 'bypass']`
`windash`	Používejte pomlčku i lomítko	`CommandLine\|contains\|windash: '-Enc'`
`cidr`	Shoda s rozsahem CIDR pro IP	`DestinationIp\|cidr: '10.0.0.0/8'`
`lt`, `lte`, `gt`, `gte`	Číselná srovnání	`EventID\|gte: 4624`

Podmínky agregace: Statistická detekce

Některé detekce vyžadují počítání událostí v určitém časovém intervalu, neodpovídat jediné události. Sigma podporuje agregační podmínky pro tyto případy použití:

# Rilevare brute force: più di 10 login falliti in 60 secondi
title: Windows Brute Force Login Attempt
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4625
    LogonType: 3
  condition: selection | count() > 10
timeframe: 60s
falsepositives:
  - Users with expired passwords
level: medium

---

# Rilevare data exfiltration: upload anomalo per destinazione
title: Potential Data Exfiltration by Volume
logsource:
  category: network_connection
  product: windows
detection:
  selection:
    Initiated: 'true'
    DestinationPort:
      - 443
      - 80
  condition: selection | count(DestinationHostname) by SourceIp > 50
timeframe: 1h
level: high

---

# Port scan detection: molte porte diverse dallo stesso sorgente
title: Network Port Scan Detection
logsource:
  category: network_connection
detection:
  selection:
    EventID: 5156
  condition: selection | count(DestinationPort) by SourceAddress > 30
timeframe: 10m
level: medium

Konverze se sigma-cli: Praktický průvodce

sigma-cli a oficiální nástroj pro převod pravidel Sigma v dotazovacích jazycích SIEM. Základní instalace a použití:

# Installazione
pip install sigma-cli
pip install pySigma-backend-splunk
pip install pySigma-backend-elasticsearch
pip install pySigma-backend-microsoft365defender

# Verifica backend disponibili
sigma list backends

# Conversione base: Sigma -> Splunk SPL
sigma convert -t splunk -p splunk_windows rules/mimikatz.yml

# Output atteso:
# (source="WinEventLog:Microsoft-Windows-Sysmon/Operational"
#  EventCode=10 TargetImage="*\\lsass.exe"
#  GrantedAccess IN ("0x1010", "0x1038", "0x1400", "0x143a"))
# NOT (SourceImage="C:\\Windows\\System32\\*"
#      OR SourceImage="C:\\Program Files\\Windows Defender\\*")

# Conversione con pipeline personalizzata
sigma convert \
  -t splunk \
  -p splunk_windows \
  -p my_custom_field_mapping.yml \
  rules/

# Conversione per Elasticsearch con ECS
sigma convert \
  -t elasticsearch \
  -p ecs_windows \
  -f lucene \
  rules/credential_access/

# Conversione per Microsoft Sentinel (KQL)
sigma convert \
  -t microsoft365defender \
  -p microsoft365defender \
  rules/lateral_movement/

# Output in formato JSON per automazione
sigma convert \
  -t splunk \
  -p splunk_windows \
  --format-output json \
  rules/ > converted_rules.json

Pozor: Mapování potrubí a polí

Každá organizace má svou vlastní normalizaci protokolu. Pokud vaše logy neřiďte se standardním vzorem (např. Sysmon pro Windows), musíte vytvořit a vlastní potrubí který mapuje pole Sigma na pole reálná data vašeho SIEM. Bez tohoto mapování nebudou převedená pravidla fungovat.

Vytvořte vlastní potrubí

Sigma pipelines definují, jak mapovat abstraktní pole Sigma na pole konkrétní prvky vašeho SIEM. Zde je návod, jak jej vytvořit pro infrastrukturu, kterou používáte vlastní formát protokolu:

# custom_pipeline.yml
name: Custom Windows Pipeline
priority: 20
transformations:
  # Rinominare campo Sigma -> campo reale nel SIEM
  - id: field_mapping_process
    type: field_name_mapping
    mapping:
      CommandLine: process.command_line
      Image: process.executable
      ParentImage: process.parent.executable
      User: user.name
      TargetImage: target.process.executable
      GrantedAccess: target.process.granted_access
    rule_conditions:
      - type: logsource
        category: process_creation

  # Aggiungere condizioni all'index di destinazione
  - id: index_condition
    type: detection_item_keyword
    keyword: 'index=windows_events'
    rule_conditions:
      - type: logsource
        product: windows

  # Sostituire valori nei campi
  - id: winlog_channel_map
    type: field_value_mapping
    field_name: winlog.channel
    mapping:
      'Security': 'security'
      'System': 'system'
      'Application': 'application'

Detekční vzory pro běžné případy použití

Podívejme se na sbírku pravidel Sigma připravenou pro případy použití s vysokou prioritou, mapováno na nejpoužívanější techniky MITER ATT&CK:

Laterální pohyb: Pass-the-Hash

title: Pass-the-Hash Attack Pattern
id: 6571d552-4c16-4f50-b5f6-11ae9d1b0a38
status: stable
description: Detects Pass-the-Hash attacks via anomalous NTLM authentication
tags:
  - attack.lateral_movement
  - attack.t1550.002
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4624
    LogonType: 3
    AuthenticationPackageName: NTLM
    KeyLength: 0
  filter_local:
    IpAddress:
      - '127.0.0.1'
      - '::1'
  filter_machine:
    SubjectUserName|endswith: '
  condition: selection and not filter_local and not filter_machine
falsepositives:
  - NTLMv1 authentication in legacy environments
level: high

Persistence: Plánované vytváření úloh

title: Suspicious Scheduled Task Creation via CLI
id: 92a7b4f1-e6c9-4e1d-b7df-3c8e9a0b5d17
status: stable
description: Detects creation of scheduled tasks via command line
tags:
  - attack.persistence
  - attack.t1053.005
logsource:
  category: process_creation
  product: windows
detection:
  selection_schtasks:
    Image|endswith: '\schtasks.exe'
    CommandLine|contains|all:
      - '/create'
      - '/tr'
  selection_suspicious_location:
    CommandLine|contains:
      - 'C:\Users\Public\'
      - 'C:\ProgramData\'
      - '%TEMP%'
      - 'AppData\Local\Temp'
  filter_admin_tools:
    ParentImage|startswith:
      - 'C:\Windows\System32\'
      - 'C:\Program Files\Microsoft Deployment Toolkit\'
  condition: selection_schtasks and selection_suspicious_location
    and not filter_admin_tools
falsepositives:
  - Software installers creating scheduled maintenance tasks
level: high

Exfiltrace: DNS tunelování

title: Potential DNS Tunneling via High Subdomain Count
id: b7c3a9f1-d4e5-4a7b-9f2c-8d0e1b3c5a7f
status: experimental
description: Detects potential DNS tunneling via unusually long DNS queries
  or high number of unique subdomains
tags:
  - attack.exfiltration
  - attack.t1048.001
  - attack.command_and_control
  - attack.t1071.004
logsource:
  category: dns
detection:
  selection_long_query:
    QueryName|re: '^([a-zA-Z0-9]{32,}\.)+'
  selection_high_entropy:
    QueryName|re: '^[a-zA-Z0-9]{20,}\.[a-zA-Z0-9]{20,}\.'
  condition: selection_long_query or selection_high_entropy
  timeframe: 5m
falsepositives:
  - CDN providers with hashed subdomains
  - Legitimate DynamicDNS services
level: medium

Správa Corporate Sigma Repository

Dobře organizované podnikové úložiště Sigma, které je zásadní pro škálovatelnost. Zde je doporučená struktura:

sigma-rules/
├── .github/
│   └── workflows/
│       ├── validate.yml          # Lint e validazione YAML
│       └── convert-deploy.yml    # Conversione e deploy
├── rules/
│   ├── windows/
│   │   ├── process_creation/
│   │   ├── security/
│   │   └── sysmon/
│   ├── linux/
│   │   ├── auth/
│   │   └── process/
│   ├── cloud/
│   │   ├── aws/
│   │   ├── azure/
│   │   └── gcp/
│   └── network/
│       ├── dns/
│       └── firewall/
├── pipelines/
│   ├── splunk_custom.yml
│   ├── elastic_ecs.yml
│   └── sentinel_kql.yml
├── tests/
│   ├── positive/               # Log che DEVONO triggherare
│   └── negative/               # Log che NON devono triggherare
└── scripts/
    ├── validate_rules.py
    ├── convert_all.py
    └── deploy_to_siem.py

Automatizace: Ověřovací a konverzní skripty

Zde je kompletní skript Pythonu pro ověření a hromadnou konverzi Pravidla Sigma v podnikovém úložišti:

#!/usr/bin/env python3
"""
Sigma Rule Validator and Converter
Valida la sintassi YAML e converte le regole per tutti i SIEM target.
"""
import os
import sys
import json
import yaml
import uuid
import subprocess
from pathlib import Path
from dataclasses import dataclass, field
from typing import Optional

@dataclass
class ConversionResult:
    rule_path: str
    success: bool
    target: str
    output: str = ""
    error: str = ""

@dataclass
class ValidationResult:
    rule_path: str
    valid: bool
    errors: list[str] = field(default_factory=list)
    warnings: list[str] = field(default_factory=list)

REQUIRED_FIELDS = ['title', 'id', 'status', 'description', 'logsource', 'detection', 'level']
VALID_STATUSES = ['stable', 'test', 'experimental', 'deprecated', 'unsupported']
VALID_LEVELS = ['informational', 'low', 'medium', 'high', 'critical']

SIEM_TARGETS = [
    {"name": "splunk", "pipeline": "splunk_windows", "flag": "-t splunk"},
    {"name": "elastic", "pipeline": "ecs_windows", "flag": "-t elasticsearch"},
    {"name": "sentinel", "pipeline": "microsoft365defender",
     "flag": "-t microsoft365defender"},
]

def validate_sigma_rule(rule_path: Path) -> ValidationResult:
    """Valida una singola regola Sigma."""
    result = ValidationResult(rule_path=str(rule_path), valid=True)

    try:
        with open(rule_path, 'r', encoding='utf-8') as f:
            rule = yaml.safe_load(f)
    except yaml.YAMLError as e:
        result.valid = False
        result.errors.append(f"YAML parse error: {e}")
        return result

    # Check campi obbligatori
    for field_name in REQUIRED_FIELDS:
        if field_name not in rule:
            result.valid = False
            result.errors.append(f"Missing required field: {field_name}")

    # Validate UUID
    if 'id' in rule:
        try:
            uuid.UUID(str(rule['id']))
        except ValueError:
            result.errors.append(f"Invalid UUID format: {rule['id']}")
            result.valid = False

    # Validate status
    if 'status' in rule and rule['status'] not in VALID_STATUSES:
        result.warnings.append(
            f"Unknown status: {rule['status']}. "
            f"Valid: {VALID_STATUSES}"
        )

    # Validate level
    if 'level' in rule and rule['level'] not in VALID_LEVELS:
        result.valid = False
        result.errors.append(
            f"Invalid level: {rule['level']}. Valid: {VALID_LEVELS}"
        )

    # Check logsource ha almeno category o service
    if 'logsource' in rule:
        logsource = rule['logsource']
        if not any(k in logsource for k in ['category', 'service', 'product']):
            result.errors.append("logsource must have at least one of: category, service, product")
            result.valid = False

    # Check detection ha condition
    if 'detection' in rule and 'condition' not in rule['detection']:
        result.errors.append("detection block missing 'condition' field")
        result.valid = False

    # Warn su falsepositives mancanti per regole stable/high
    if rule.get('status') == 'stable' and rule.get('level') in ['high', 'critical']:
        if 'falsepositives' not in rule:
            result.warnings.append("Stable high-severity rule missing falsepositives documentation")

    return result

def convert_rule(rule_path: Path, target_config: dict) -> ConversionResult:
    """Converte una regola Sigma per un SIEM target."""
    cmd = [
        'sigma', 'convert',
        '-t', target_config['name'],
        '-p', target_config['pipeline'],
        str(rule_path)
    ]
    try:
        proc = subprocess.run(cmd, capture_output=True, text=True, timeout=30)
        if proc.returncode == 0:
            return ConversionResult(
                rule_path=str(rule_path),
                success=True,
                target=target_config['name'],
                output=proc.stdout.strip()
            )
        else:
            return ConversionResult(
                rule_path=str(rule_path),
                success=False,
                target=target_config['name'],
                error=proc.stderr.strip()
            )
    except subprocess.TimeoutExpired:
        return ConversionResult(
            rule_path=str(rule_path),
            success=False,
            target=target_config['name'],
            error="Conversion timeout"
        )

def process_repository(rules_dir: str) -> dict:
    """Processa l'intero repository di regole Sigma."""
    rules_path = Path(rules_dir)
    results = {"validation": [], "conversion": {}, "summary": {}}

    rule_files = list(rules_path.rglob("*.yml"))
    print(f"Found {len(rule_files)} rules")

    valid_count = 0
    invalid_count = 0

    for rule_file in rule_files:
        val_result = validate_sigma_rule(rule_file)
        results["validation"].append({
            "path": str(rule_file.relative_to(rules_path)),
            "valid": val_result.valid,
            "errors": val_result.errors,
            "warnings": val_result.warnings
        })

        if val_result.valid:
            valid_count += 1
            for target in SIEM_TARGETS:
                if target['name'] not in results["conversion"]:
                    results["conversion"][target['name']] = []
                conv = convert_rule(rule_file, target)
                results["conversion"][target['name']].append({
                    "path": str(rule_file.relative_to(rules_path)),
                    "success": conv.success,
                    "output": conv.output if conv.success else None,
                    "error": conv.error if not conv.success else None
                })
        else:
            invalid_count += 1
            print(f"INVALID: {rule_file.name}")
            for err in val_result.errors:
                print(f"  ERROR: {err}")

    results["summary"] = {
        "total": len(rule_files),
        "valid": valid_count,
        "invalid": invalid_count,
        "conversion_rate": valid_count / len(rule_files) * 100 if rule_files else 0
    }

    return results

if __name__ == "__main__":
    rules_dir = sys.argv[1] if len(sys.argv) > 1 else "./rules"
    results = process_repository(rules_dir)

    output_file = "sigma_report.json"
    with open(output_file, 'w') as f:
        json.dump(results, f, indent=2)

    summary = results["summary"]
    print(f"\n=== SIGMA VALIDATION REPORT ===")
    print(f"Total rules: {summary['total']}")
    print(f"Valid: {summary['valid']} ({summary['conversion_rate']:.1f}%)")
    print(f"Invalid: {summary['invalid']}")
    print(f"Full report: {output_file}")

    sys.exit(0 if summary['invalid'] == 0 else 1)

Akce GitHubu pro pravidla Sigma CI/CD

Integrujte ověřování a konverzi pravidel Sigma do svého kanálu CI/CD:

# .github/workflows/sigma-pipeline.yml
name: Sigma Rules CI/CD

on:
  push:
    paths:
      - 'rules/**/*.yml'
      - 'pipelines/**/*.yml'
  pull_request:
    paths:
      - 'rules/**/*.yml'

jobs:
  validate:
    name: Validate Sigma Rules
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Install dependencies
        run: |
          pip install sigma-cli pySigma-backend-splunk \
            pySigma-backend-elasticsearch \
            pySigma-backend-microsoft365defender \
            pyyaml

      - name: Run validation
        run: python scripts/validate_rules.py ./rules

      - name: Upload validation report
        if: always()
        uses: actions/upload-artifact@v4
        with:
          name: sigma-validation-report
          path: sigma_report.json

  convert-and-deploy:
    name: Convert and Deploy Rules
    needs: validate
    if: github.ref == 'refs/heads/main'
    runs-on: ubuntu-latest
    environment: production
    steps:
      - uses: actions/checkout@v4

      - name: Install sigma-cli
        run: pip install sigma-cli pySigma-backend-splunk

      - name: Convert rules for Splunk
        run: |
          sigma convert \
            -t splunk \
            -p splunk_windows \
            -p pipelines/splunk_custom.yml \
            --format-output savedsearches \
            rules/ > converted/splunk_rules.conf

      - name: Deploy to Splunk
        env:
          SPLUNK_HOST: ${{ secrets.SPLUNK_HOST }}
          SPLUNK_TOKEN: ${{ secrets.SPLUNK_TOKEN }}
        run: |
          python scripts/deploy_to_splunk.py \
            --rules converted/splunk_rules.conf \
            --host "$SPLUNK_HOST" \
            --token "$SPLUNK_TOKEN"

Nejlepší postup: Životní cyklus pravidel Sigma

Vždy začněte s status: experimental e level: low pro nové pravidlo
Zdokumentujte známé falešné poplachy v terénu falsepositives
Povýšit na stable až po minimálně 2 týdnech testování v pracovním prostředí s reálnými daty
USA related propojit související pravidla, která pokrývají stejná technika s různými přístupy
U každého pravidla si ponechte ZMĚNANÝ LOG: datum, autor, důvod úpravy

Sigma a MITRE ATT&CK: Mapování pokrytí

Pokročilé použití Sigma a automatického mapování pokrytí ATT&CK. Pomocí jednoduchého skriptu můžete analyzovat úložiště a generovat teplotní mapa pokrytí pro taktiku a techniky:

import yaml
import json
from pathlib import Path
from collections import defaultdict

def build_attck_coverage(rules_dir: str) -> dict:
    """
    Analizza il repository Sigma e genera statistiche
    di copertura per tecnica MITRE ATT&CK.
    """
    coverage = defaultdict(list)

    for rule_file in Path(rules_dir).rglob("*.yml"):
        with open(rule_file) as f:
            rule = yaml.safe_load(f)

        tags = rule.get('tags', [])
        rule_info = {
            "title": rule.get('title', ''),
            "status": rule.get('status', ''),
            "level": rule.get('level', ''),
            "file": str(rule_file)
        }

        for tag in tags:
            # Estrae solo i tag di tecnica ATT&CK: attack.t1234.001
            if tag.startswith('attack.t') and len(tag) > 9:
                technique_id = tag.replace('attack.', '').upper()
                coverage[technique_id].append(rule_info)

    # Calcola statistiche per livello di severita
    stats = {}
    for technique, rules in coverage.items():
        level_counts = defaultdict(int)
        for r in rules:
            level_counts[r['level']] += 1

        stats[technique] = {
            "rule_count": len(rules),
            "stable_count": sum(1 for r in rules if r['status'] == 'stable'),
            "levels": dict(level_counts),
            "rules": [r['title'] for r in rules]
        }

    return {
        "total_techniques_covered": len(coverage),
        "total_rules": sum(len(r) for r in coverage.values()),
        "techniques": stats
    }

coverage = build_attck_coverage("./rules")
print(f"Tecniche coperte: {coverage['total_techniques_covered']}")
print(f"Regole totali: {coverage['total_rules']}")

with open("attck_coverage.json", "w") as f:
    json.dump(coverage, f, indent=2)

Anti-vzory, kterým je třeba se vyhnout

Psaní účinných pravidel Sigma vyžaduje vyhnout se některým běžným chybám což vede k nadměrnému počtu falešně pozitivních výsledků nebo neúčinné detekci:

Běžné anti-vzory

Regex příliš tolerantní: CommandLine|re: '.*' sladit všechno. Používejte specifické a ukotvené regulární výrazy
Nedostatek filtrů: bez filter_ výběry u legitimních procesů budete generovat tisíce falešně pozitivních výsledků denně
Použijte pouze název procesu: útočníci přejmenovat stopy. Použijte hash, úplnou cestu A argumenty příkazového řádku
Neměňte verze pravidel: bez id UUID e modified vzhledem k tomu, nemůžete sledovat vývoj pravidel
Stav vždy experimentální: pravidla nejsou podporována a zůstat v limbu bez formálního procesu přezkoumání
Příliš vysoké pole úrovně: ne všechno je "kritické". Používejte úrovně střídmě, abyste zachovali prioritu upozornění

Závěry a další kroky

Sigma dnes představuje nejmodernější způsob zápisu detekční logiky přenosné a spolupracující. Zvládněte jeho syntaxi, pokročilé modifikátory, a automatická konverze je základní dovedností každého moderní detekční inženýr.

Klíčové body k zapamatování:

Struktura logsource je srdcem přenositelnosti: jedno pravidlo, N platforem
Modifikátory umožňují flexibilní zápasy bez obětování přesnosti
Agregační podmínky umožňují behaviorální a statistickou detekci
Dobře organizované úložiště s CI/CD a předpokladem pro škálovatelnost
Automatizované mapování ATT&CK umožňuje objektivně měřit pokrytí

Řada Detection Engineering Series pokračuje

V příštím článku se podíváme, jak postavit potrubí Kompletní Detection-as-Code s Git a CI/CD, automatizace testování, konverze a nasazení pravidel.