Bună! Sunt

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Contactează-mă

Despre Mine

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Competențele Mele

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatizarea Proceselor

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Sisteme Personalizate

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Misiunea Mea

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Democratizarea Tehnologiei

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Unirea IT și Economiei

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Crearea de Soluții Personalizate

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Transformă-ți Afacerea cu Tehnologia

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Hai să Vorbim →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Contactează-mă

Ai un proiect în minte? Hai să vorbim! Completează formularul și îți voi răspunde curând.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

Reguli Sigma: Logica de detectare universală și conversie SIEM

În lumea securității cibernetice defensive, una dintre cele mai persistente probleme a fost întotdeauna cel fragmentarea limbajelor de detectare: Fiecare SIEM are propria sa sintaxă proprietară, fiecare platformă necesită interogări diferite și reguli scrise pentru Splunk nu funcționează pe Elastic, care la rândul său nu este compatibil cu Microsoft Sentinel. Rezultatul este că echipele SOC petrec enorm de mult timp rescriindu-le logica de detectare pentru fiecare instrument, în loc să ne concentrăm pe ceea ce contează cu adevărat: găsiți amenințări înainte ca acestea să provoace daune.

Le Regulile Sigma s-au născut tocmai pentru a rezolva această problemă. Introdus de Florian Roth și Thomas Patzke, Sigma este astăzi formatul standard de facto pentru a scrie reguli de detectare într-un mod portabil și independent de platformă. O regulă Sigma scrisă o singură dată poate fi convertită automat într-o interogare Splunk SPL, Elasticsearch KQL, Microsoft Sentinel KQL, IBM QRadar, Chronicle YARA-L, și peste 40 de alte ținte. În acest articol, explorăm în profunzime sintaxa Sigma, modele de cartografiere logsource, tehnici de editare și conversie și cum se integrează Sigma într-o conductă modernă Detection-as-Code.

Ce veți învăța în acest articol

Structura completă a unei reguli Sigma: titlu, sursă de jurnal, detecție, condiție
Maparea surselor de log: categorie, produs, serviciu și modul în care acestea se traduc în SIEM
Modificatori avansați: conține, startswith, endswith, re, base64offset
Condiții de agregare: număr, sumă, min, max pentru statistici de detecție
Conversie automată cu sigma-cli în Splunk, Elastic și Sentinel
Model pentru detectarea mișcării laterale, persistenței, exfiltrației
Testarea și validarea regulilor Sigma cu date sintetice
Managementul depozitului Sigma al companiei cu cele mai bune practici

Ce este Sigma și de ce a devenit Standardul

Sigma este un format deschis, bazat pe YAML, pentru descrierea tiparelor de detectare pe jurnalele de securitate într-un mod independent de platformă. Gândește-te la asta ca YARA pentru bușteni: la fel cum YARA vă permite să scrieți reguli pentru fișierele rău intenționate care funcționează pe orice scaner, Sigma vă permite să scrieți reguli de detectare care funcționează pe orice SIEM.

Proiectul SigmaHQ găzduiește astăzi mai multe 3.000 de reguli comunitare acoperit de întreținere continuă, mapat la cadrul MITRE ATT&CK și gata a fi convertit. Creșterea a fost explozivă: de la un instrument de nișă la vânători de amenințări, Sigma a devenit limbajul comun al inginerilor de detectare profesionisti. Principalele avantaje sunt trei:

Portabilitate: scrieți o regulă, implementați-o în N SIEM-uri diferite
Colaborare: regulile pot fi citite de oricine, indiferent de SIEM-ul utilizat
Automatizare: conversia este complet automatizată în CI/CD

Anatomia unei reguli Sigma

O regulă Sigma și un fișier YAML cu câmpuri bine definite. Să vedem structura completați cu un exemplu real care notează utilizarea lui mimikatz prin Jurnalele de evenimente Windows:

title: Mimikatz Detection via Windows Security Events
id: 0d82df6e-0e4e-4fbb-a12b-6e7a00a9c7c3
status: stable
description: Detects mimikatz usage patterns via LSASS access events
  and command-line indicators
references:
  - https://github.com/gentilkiwi/mimikatz
  - https://attack.mitre.org/techniques/T1003/001/
author: Federico Calo
date: 2026/03/01
modified: 2026/03/09
tags:
  - attack.credential_access
  - attack.t1003.001
  - attack.defense_evasion
logsource:
  category: process_access
  product: windows
detection:
  selection_lsass:
    TargetImage|endswith: '\lsass.exe'
    GrantedAccess|contains:
      - '0x1010'
      - '0x1038'
      - '0x1400'
      - '0x143a'
  selection_mimikatz_cli:
    CommandLine|contains|all:
      - 'sekurlsa'
      - 'logonpasswords'
  filter_legitimate:
    SourceImage|startswith:
      - 'C:\Windows\System32\'
      - 'C:\Program Files\Windows Defender\'
  condition: (selection_lsass and not filter_legitimate) or selection_mimikatz_cli
falsepositives:
  - Legitimate security tools performing LSASS inspection
  - Antivirus and EDR solutions
level: high

Să analizăm fiecare secțiune în detaliu:

Câmpuri și metadate obligatorii

Blocul de metadate de la începutul regulii este pentru documentare aceea pentru automatizarea managementului:

titlu: numele lizibil al regulii. Trebuie să fie unic si descriptive. Convenție: „Verb + Subiect + Context”
id: UUID unic v4. Nu se schimbă niciodată în timp, permiteți urmărirea versiunilor și a rapoartelor fals pozitive
stare: ciclul de viață al regulii. Valorile valide sunt: stable, test, experimental, deprecated, unsupported
nivel: severitate. Valori: informational, low, medium, high, critical
etichete: Lista de etichete MITRE ATT&CK în format . attack.t<ID> pentru tehnici sau attack.<tactic> pentru tactici

Logsource: inima portabilității

Blocul sursă de jurnal și magia care face ca Sigma să fie portabil. În loc să specifice un index specific SIEM sau un flux de date, acesta definește tipul de jurnal în mod abstract prin trei câmpuri:

# Esempio 1: Windows Security Events
logsource:
  category: process_creation
  product: windows

# Esempio 2: Linux Authentication
logsource:
  category: process_creation
  product: linux

# Esempio 3: Web Server Logs
logsource:
  category: webserver
  # nessun product specifico: generico

# Esempio 4: Log specifico di un servizio
logsource:
  product: windows
  service: security

# Esempio 5: Log di rete
logsource:
  category: network_connection
  product: windows

# Esempio 6: Cloud Trail
logsource:
  product: aws
  service: cloudtrail

Sistemul de conducte sigma-cli traduce aceste surse de jurnal abstracte în trasee concrete ale fiecărui SIEM. De exemplu, category: process_creation su product: windows devine:

Țintă SIEM	Traducere logsource
Splunk	`source="WinEventLog:Security" EventCode=4688`
Elasticsearch (ECS)	`event.category:process AND event.type:start`
Microsoft Sentinel (KQL)	`SecurityEvent \| where EventID == 4688`
Cronica (YARA-L)	`$event.metadata.event_type = "PROCESS_LAUNCH"`

Detectare: selecții și condiții

Blocul detectare și unde este definită logica de detecție. Este format din două părți: cel selectii (filtrează pe câmpurile de jurnal) iar cel stare (Logica booleană care combină selecții).

detection:
  # Selection con match esatto su campo singolo
  selection_exact:
    EventID: 4625

  # Selection con lista di valori (OR implicito)
  selection_multi_value:
    CommandLine|contains:
      - 'net user'
      - 'net localgroup'
      - 'whoami'

  # Selection con match su tutti i valori (AND implicito con |all)
  selection_and_all:
    CommandLine|contains|all:
      - '-enc'
      - 'powershell'

  # Selection con regex
  selection_regex:
    CommandLine|re: '(?i)(invoke-mimikatz|sekurlsa::)'

  # Selection con wildcard
  selection_wildcard:
    TargetFilename|startswith: 'C:\Users\'
    TargetFilename|endswith: '.exe'

  # Filter per ridurre i falsi positivi
  filter_system_processes:
    ParentImage|startswith: 'C:\Windows\System32\'

  # Condition: logica booleana
  condition: selection_exact and (
    selection_multi_value or selection_and_all
  ) and not filter_system_processes

Modificatori avansati

I modificatori sunt sufixe care sunt adăugate la numele câmpurilor cu caracterul pipe | pentru a schimba tipul de potrivire. Cunoașterea lor pe toate este esențială pentru a scrie reguli eficiente:

Modificator	Descriere	Exemplu
`contains`	Potrivirea subșirurilor (caracterul metalic pe ambele părți)	`CommandLine\|contains: 'mimikatz'`
`startswith`	Potrivire la începutul valorii	`Image\|startswith: 'C:\Users\'`
`endswith`	Potrivire la sfârșitul valorii	`Image\|endswith: '\cmd.exe'`
`re`	Regex PCRE	`CommandLine\|re: '(?i)sekurlsa'`
`base64offset`	Decodare Base64 cu offset 0,1,2	`CommandLine\|base64offset\|contains: 'IEX'`
`wide`	Potriviți pe șiruri largi Unicode	`CommandLine\|wide\|contains: 'sekurlsa'`
`all`	Toate valorile din listă trebuie să se potrivească	`CommandLine\|contains\|all: ['-enc', 'bypass']`
`windash`	Potriviți atât liniuța cât și bara oblică	`CommandLine\|contains\|windash: '-Enc'`
`cidr`	Potrivire în intervalul CIDR pentru IP	`DestinationIp\|cidr: '10.0.0.0/8'`
`lt`, `lte`, `gt`, `gte`	Comparații numerice	`EventID\|gte: 4624`

Condiții de agregare: Detectare statistică

Unele detectări necesită numărarea evenimentelor într-un anumit interval de timp, să nu se potrivească cu un singur eveniment. Suportă Sigma conditii de agregare pentru aceste cazuri de utilizare:

# Rilevare brute force: più di 10 login falliti in 60 secondi
title: Windows Brute Force Login Attempt
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4625
    LogonType: 3
  condition: selection | count() > 10
timeframe: 60s
falsepositives:
  - Users with expired passwords
level: medium

---

# Rilevare data exfiltration: upload anomalo per destinazione
title: Potential Data Exfiltration by Volume
logsource:
  category: network_connection
  product: windows
detection:
  selection:
    Initiated: 'true'
    DestinationPort:
      - 443
      - 80
  condition: selection | count(DestinationHostname) by SourceIp > 50
timeframe: 1h
level: high

---

# Port scan detection: molte porte diverse dallo stesso sorgente
title: Network Port Scan Detection
logsource:
  category: network_connection
detection:
  selection:
    EventID: 5156
  condition: selection | count(DestinationPort) by SourceAddress > 30
timeframe: 10m
level: medium

Conversie cu sigma-cli: Ghid practic

sigma-cli și instrumentul oficial pentru convertirea regulilor Sigma în limbaje de interogare SIEM. Instalare și utilizare de bază:

# Installazione
pip install sigma-cli
pip install pySigma-backend-splunk
pip install pySigma-backend-elasticsearch
pip install pySigma-backend-microsoft365defender

# Verifica backend disponibili
sigma list backends

# Conversione base: Sigma -> Splunk SPL
sigma convert -t splunk -p splunk_windows rules/mimikatz.yml

# Output atteso:
# (source="WinEventLog:Microsoft-Windows-Sysmon/Operational"
#  EventCode=10 TargetImage="*\\lsass.exe"
#  GrantedAccess IN ("0x1010", "0x1038", "0x1400", "0x143a"))
# NOT (SourceImage="C:\\Windows\\System32\\*"
#      OR SourceImage="C:\\Program Files\\Windows Defender\\*")

# Conversione con pipeline personalizzata
sigma convert \
  -t splunk \
  -p splunk_windows \
  -p my_custom_field_mapping.yml \
  rules/

# Conversione per Elasticsearch con ECS
sigma convert \
  -t elasticsearch \
  -p ecs_windows \
  -f lucene \
  rules/credential_access/

# Conversione per Microsoft Sentinel (KQL)
sigma convert \
  -t microsoft365defender \
  -p microsoft365defender \
  rules/lateral_movement/

# Output in formato JSON per automazione
sigma convert \
  -t splunk \
  -p splunk_windows \
  --format-output json \
  rules/ > converted_rules.json

Atenție: Pipeline and Field Mapping

Fiecare organizație are propria sa normalizare a jurnalului. Dacă jurnalele dvs nu urmați modelul standard (de exemplu, Sysmon pentru Windows), trebuie să creați un conductă personalizată care mapează câmpurile Sigma la câmpuri date reale ale SIEM-ului dvs. Fără această mapare, regulile convertite nu vor funcționa.

Creați conducte personalizate

Conductele Sigma definesc modul de mapare a câmpurilor abstracte Sigma la câmpuri elemente concrete ale SIEM-ului dumneavoastră. Iată cum să creați unul pentru o infrastructură pe care o utilizați un format de jurnal personalizat:

# custom_pipeline.yml
name: Custom Windows Pipeline
priority: 20
transformations:
  # Rinominare campo Sigma -> campo reale nel SIEM
  - id: field_mapping_process
    type: field_name_mapping
    mapping:
      CommandLine: process.command_line
      Image: process.executable
      ParentImage: process.parent.executable
      User: user.name
      TargetImage: target.process.executable
      GrantedAccess: target.process.granted_access
    rule_conditions:
      - type: logsource
        category: process_creation

  # Aggiungere condizioni all'index di destinazione
  - id: index_condition
    type: detection_item_keyword
    keyword: 'index=windows_events'
    rule_conditions:
      - type: logsource
        product: windows

  # Sostituire valori nei campi
  - id: winlog_channel_map
    type: field_value_mapping
    field_name: winlog.channel
    mapping:
      'Security': 'security'
      'System': 'system'
      'Application': 'application'

Modele de detectare pentru cazuri de utilizare obișnuită

Să vedem o colecție de reguli Sigma pregătite pentru cazuri de utilizare cu prioritate ridicată, mapat la cele mai exploatate tehnici MITRE ATT&CK:

Mișcare laterală: Pass-the-Hash

title: Pass-the-Hash Attack Pattern
id: 6571d552-4c16-4f50-b5f6-11ae9d1b0a38
status: stable
description: Detects Pass-the-Hash attacks via anomalous NTLM authentication
tags:
  - attack.lateral_movement
  - attack.t1550.002
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4624
    LogonType: 3
    AuthenticationPackageName: NTLM
    KeyLength: 0
  filter_local:
    IpAddress:
      - '127.0.0.1'
      - '::1'
  filter_machine:
    SubjectUserName|endswith: '
  condition: selection and not filter_local and not filter_machine
falsepositives:
  - NTLMv1 authentication in legacy environments
level: high

Persistență: Crearea sarcinilor programate

title: Suspicious Scheduled Task Creation via CLI
id: 92a7b4f1-e6c9-4e1d-b7df-3c8e9a0b5d17
status: stable
description: Detects creation of scheduled tasks via command line
tags:
  - attack.persistence
  - attack.t1053.005
logsource:
  category: process_creation
  product: windows
detection:
  selection_schtasks:
    Image|endswith: '\schtasks.exe'
    CommandLine|contains|all:
      - '/create'
      - '/tr'
  selection_suspicious_location:
    CommandLine|contains:
      - 'C:\Users\Public\'
      - 'C:\ProgramData\'
      - '%TEMP%'
      - 'AppData\Local\Temp'
  filter_admin_tools:
    ParentImage|startswith:
      - 'C:\Windows\System32\'
      - 'C:\Program Files\Microsoft Deployment Toolkit\'
  condition: selection_schtasks and selection_suspicious_location
    and not filter_admin_tools
falsepositives:
  - Software installers creating scheduled maintenance tasks
level: high

Exfiltrare: tunel DNS

title: Potential DNS Tunneling via High Subdomain Count
id: b7c3a9f1-d4e5-4a7b-9f2c-8d0e1b3c5a7f
status: experimental
description: Detects potential DNS tunneling via unusually long DNS queries
  or high number of unique subdomains
tags:
  - attack.exfiltration
  - attack.t1048.001
  - attack.command_and_control
  - attack.t1071.004
logsource:
  category: dns
detection:
  selection_long_query:
    QueryName|re: '^([a-zA-Z0-9]{32,}\.)+'
  selection_high_entropy:
    QueryName|re: '^[a-zA-Z0-9]{20,}\.[a-zA-Z0-9]{20,}\.'
  condition: selection_long_query or selection_high_entropy
  timeframe: 5m
falsepositives:
  - CDN providers with hashed subdomains
  - Legitimate DynamicDNS services
level: medium

Managementul Repositoryului Corporate Sigma

Un depozit Sigma de întreprindere bine organizat, care este critic pentru scalabilitate. Iată structura recomandată:

sigma-rules/
├── .github/
│   └── workflows/
│       ├── validate.yml          # Lint e validazione YAML
│       └── convert-deploy.yml    # Conversione e deploy
├── rules/
│   ├── windows/
│   │   ├── process_creation/
│   │   ├── security/
│   │   └── sysmon/
│   ├── linux/
│   │   ├── auth/
│   │   └── process/
│   ├── cloud/
│   │   ├── aws/
│   │   ├── azure/
│   │   └── gcp/
│   └── network/
│       ├── dns/
│       └── firewall/
├── pipelines/
│   ├── splunk_custom.yml
│   ├── elastic_ecs.yml
│   └── sentinel_kql.yml
├── tests/
│   ├── positive/               # Log che DEVONO triggherare
│   └── negative/               # Log che NON devono triggherare
└── scripts/
    ├── validate_rules.py
    ├── convert_all.py
    └── deploy_to_siem.py

Automatizare: Scripturi de validare și conversie

Iată un script Python complet pentru validarea și conversia în bloc Reguli Sigma într-un depozit de întreprindere:

#!/usr/bin/env python3
"""
Sigma Rule Validator and Converter
Valida la sintassi YAML e converte le regole per tutti i SIEM target.
"""
import os
import sys
import json
import yaml
import uuid
import subprocess
from pathlib import Path
from dataclasses import dataclass, field
from typing import Optional

@dataclass
class ConversionResult:
    rule_path: str
    success: bool
    target: str
    output: str = ""
    error: str = ""

@dataclass
class ValidationResult:
    rule_path: str
    valid: bool
    errors: list[str] = field(default_factory=list)
    warnings: list[str] = field(default_factory=list)

REQUIRED_FIELDS = ['title', 'id', 'status', 'description', 'logsource', 'detection', 'level']
VALID_STATUSES = ['stable', 'test', 'experimental', 'deprecated', 'unsupported']
VALID_LEVELS = ['informational', 'low', 'medium', 'high', 'critical']

SIEM_TARGETS = [
    {"name": "splunk", "pipeline": "splunk_windows", "flag": "-t splunk"},
    {"name": "elastic", "pipeline": "ecs_windows", "flag": "-t elasticsearch"},
    {"name": "sentinel", "pipeline": "microsoft365defender",
     "flag": "-t microsoft365defender"},
]

def validate_sigma_rule(rule_path: Path) -> ValidationResult:
    """Valida una singola regola Sigma."""
    result = ValidationResult(rule_path=str(rule_path), valid=True)

    try:
        with open(rule_path, 'r', encoding='utf-8') as f:
            rule = yaml.safe_load(f)
    except yaml.YAMLError as e:
        result.valid = False
        result.errors.append(f"YAML parse error: {e}")
        return result

    # Check campi obbligatori
    for field_name in REQUIRED_FIELDS:
        if field_name not in rule:
            result.valid = False
            result.errors.append(f"Missing required field: {field_name}")

    # Validate UUID
    if 'id' in rule:
        try:
            uuid.UUID(str(rule['id']))
        except ValueError:
            result.errors.append(f"Invalid UUID format: {rule['id']}")
            result.valid = False

    # Validate status
    if 'status' in rule and rule['status'] not in VALID_STATUSES:
        result.warnings.append(
            f"Unknown status: {rule['status']}. "
            f"Valid: {VALID_STATUSES}"
        )

    # Validate level
    if 'level' in rule and rule['level'] not in VALID_LEVELS:
        result.valid = False
        result.errors.append(
            f"Invalid level: {rule['level']}. Valid: {VALID_LEVELS}"
        )

    # Check logsource ha almeno category o service
    if 'logsource' in rule:
        logsource = rule['logsource']
        if not any(k in logsource for k in ['category', 'service', 'product']):
            result.errors.append("logsource must have at least one of: category, service, product")
            result.valid = False

    # Check detection ha condition
    if 'detection' in rule and 'condition' not in rule['detection']:
        result.errors.append("detection block missing 'condition' field")
        result.valid = False

    # Warn su falsepositives mancanti per regole stable/high
    if rule.get('status') == 'stable' and rule.get('level') in ['high', 'critical']:
        if 'falsepositives' not in rule:
            result.warnings.append("Stable high-severity rule missing falsepositives documentation")

    return result

def convert_rule(rule_path: Path, target_config: dict) -> ConversionResult:
    """Converte una regola Sigma per un SIEM target."""
    cmd = [
        'sigma', 'convert',
        '-t', target_config['name'],
        '-p', target_config['pipeline'],
        str(rule_path)
    ]
    try:
        proc = subprocess.run(cmd, capture_output=True, text=True, timeout=30)
        if proc.returncode == 0:
            return ConversionResult(
                rule_path=str(rule_path),
                success=True,
                target=target_config['name'],
                output=proc.stdout.strip()
            )
        else:
            return ConversionResult(
                rule_path=str(rule_path),
                success=False,
                target=target_config['name'],
                error=proc.stderr.strip()
            )
    except subprocess.TimeoutExpired:
        return ConversionResult(
            rule_path=str(rule_path),
            success=False,
            target=target_config['name'],
            error="Conversion timeout"
        )

def process_repository(rules_dir: str) -> dict:
    """Processa l'intero repository di regole Sigma."""
    rules_path = Path(rules_dir)
    results = {"validation": [], "conversion": {}, "summary": {}}

    rule_files = list(rules_path.rglob("*.yml"))
    print(f"Found {len(rule_files)} rules")

    valid_count = 0
    invalid_count = 0

    for rule_file in rule_files:
        val_result = validate_sigma_rule(rule_file)
        results["validation"].append({
            "path": str(rule_file.relative_to(rules_path)),
            "valid": val_result.valid,
            "errors": val_result.errors,
            "warnings": val_result.warnings
        })

        if val_result.valid:
            valid_count += 1
            for target in SIEM_TARGETS:
                if target['name'] not in results["conversion"]:
                    results["conversion"][target['name']] = []
                conv = convert_rule(rule_file, target)
                results["conversion"][target['name']].append({
                    "path": str(rule_file.relative_to(rules_path)),
                    "success": conv.success,
                    "output": conv.output if conv.success else None,
                    "error": conv.error if not conv.success else None
                })
        else:
            invalid_count += 1
            print(f"INVALID: {rule_file.name}")
            for err in val_result.errors:
                print(f"  ERROR: {err}")

    results["summary"] = {
        "total": len(rule_files),
        "valid": valid_count,
        "invalid": invalid_count,
        "conversion_rate": valid_count / len(rule_files) * 100 if rule_files else 0
    }

    return results

if __name__ == "__main__":
    rules_dir = sys.argv[1] if len(sys.argv) > 1 else "./rules"
    results = process_repository(rules_dir)

    output_file = "sigma_report.json"
    with open(output_file, 'w') as f:
        json.dump(results, f, indent=2)

    summary = results["summary"]
    print(f"\n=== SIGMA VALIDATION REPORT ===")
    print(f"Total rules: {summary['total']}")
    print(f"Valid: {summary['valid']} ({summary['conversion_rate']:.1f}%)")
    print(f"Invalid: {summary['invalid']}")
    print(f"Full report: {output_file}")

    sys.exit(0 if summary['invalid'] == 0 else 1)

Acțiuni GitHub pentru regulile Sigma CI/CD

Integrați validarea și conversia regulilor Sigma în conducta dvs. CI/CD:

# .github/workflows/sigma-pipeline.yml
name: Sigma Rules CI/CD

on:
  push:
    paths:
      - 'rules/**/*.yml'
      - 'pipelines/**/*.yml'
  pull_request:
    paths:
      - 'rules/**/*.yml'

jobs:
  validate:
    name: Validate Sigma Rules
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Install dependencies
        run: |
          pip install sigma-cli pySigma-backend-splunk \
            pySigma-backend-elasticsearch \
            pySigma-backend-microsoft365defender \
            pyyaml

      - name: Run validation
        run: python scripts/validate_rules.py ./rules

      - name: Upload validation report
        if: always()
        uses: actions/upload-artifact@v4
        with:
          name: sigma-validation-report
          path: sigma_report.json

  convert-and-deploy:
    name: Convert and Deploy Rules
    needs: validate
    if: github.ref == 'refs/heads/main'
    runs-on: ubuntu-latest
    environment: production
    steps:
      - uses: actions/checkout@v4

      - name: Install sigma-cli
        run: pip install sigma-cli pySigma-backend-splunk

      - name: Convert rules for Splunk
        run: |
          sigma convert \
            -t splunk \
            -p splunk_windows \
            -p pipelines/splunk_custom.yml \
            --format-output savedsearches \
            rules/ > converted/splunk_rules.conf

      - name: Deploy to Splunk
        env:
          SPLUNK_HOST: ${{ secrets.SPLUNK_HOST }}
          SPLUNK_TOKEN: ${{ secrets.SPLUNK_TOKEN }}
        run: |
          python scripts/deploy_to_splunk.py \
            --rules converted/splunk_rules.conf \
            --host "$SPLUNK_HOST" \
            --token "$SPLUNK_TOKEN"

Cea mai bună practică: ciclul de viață al regulilor Sigma

Începe întotdeauna cu status: experimental e level: low pentru o nouă regulă
Documentați fals pozitive cunoscute în domeniu falsepositives
Promovați la stable numai după cel puțin 2 săptămâni de testare într-un mediu de punere în scenă cu date reale
STATELE UNITE ALE AMERICII related pentru a lega regulile conexe care acoperă aceeași tehnică cu abordări diferite
Păstrați un CHANGELOG pentru fiecare regulă: data, autorul, motivul modificării

Sigma și MITRE ATT&CK: Maparea acoperirii

O utilizare avansată a Sigma și maparea automată a acoperirii ATT&CK. Cu un script simplu, puteți analiza depozitul și genera o hartă termică de acoperire pentru tactici și tehnici:

import yaml
import json
from pathlib import Path
from collections import defaultdict

def build_attck_coverage(rules_dir: str) -> dict:
    """
    Analizza il repository Sigma e genera statistiche
    di copertura per tecnica MITRE ATT&CK.
    """
    coverage = defaultdict(list)

    for rule_file in Path(rules_dir).rglob("*.yml"):
        with open(rule_file) as f:
            rule = yaml.safe_load(f)

        tags = rule.get('tags', [])
        rule_info = {
            "title": rule.get('title', ''),
            "status": rule.get('status', ''),
            "level": rule.get('level', ''),
            "file": str(rule_file)
        }

        for tag in tags:
            # Estrae solo i tag di tecnica ATT&CK: attack.t1234.001
            if tag.startswith('attack.t') and len(tag) > 9:
                technique_id = tag.replace('attack.', '').upper()
                coverage[technique_id].append(rule_info)

    # Calcola statistiche per livello di severita
    stats = {}
    for technique, rules in coverage.items():
        level_counts = defaultdict(int)
        for r in rules:
            level_counts[r['level']] += 1

        stats[technique] = {
            "rule_count": len(rules),
            "stable_count": sum(1 for r in rules if r['status'] == 'stable'),
            "levels": dict(level_counts),
            "rules": [r['title'] for r in rules]
        }

    return {
        "total_techniques_covered": len(coverage),
        "total_rules": sum(len(r) for r in coverage.values()),
        "techniques": stats
    }

coverage = build_attck_coverage("./rules")
print(f"Tecniche coperte: {coverage['total_techniques_covered']}")
print(f"Regole totali: {coverage['total_rules']}")

with open("attck_coverage.json", "w") as f:
    json.dump(coverage, f, indent=2)

Anti-modele de evitat

Scrierea unor reguli Sigma eficiente necesită evitarea unor greșeli comune conducând la fals pozitive excesive sau la detectarea ineficientă:

Anti-modele comune

Regex prea permisiv: CommandLine|re: '.*' se potrivesc cu totul. Utilizați regexe specifice și ancorate
Lipsa filtrelor: fără filter_ selectii pentru procesele legitime, veți genera mii de fals pozitive pe zi
Utilizați numai numele procesului: atacatorii redenumesc urmele. Utilizați hash, calea completă ȘI argumentele liniei de comandă
Nu versiunea regulilor: fără id UUID e modified dat, nu poți urmări evoluția regulilor
Stare întotdeauna experimentală: regulile nu sunt promovate și să rămână în limb fără un proces formal de revizuire
Câmp de nivel prea ridicat: nu totul este „critic”. Utilizați nivelurile cu moderație pentru a păstra prioritatea alertelor

Concluzii și pașii următori

Sigma reprezintă astăzi stadiul tehnicii pentru scrierea logicii de detectare portabil și colaborativ. Stăpânește-i sintaxa, modificatorii avansați, iar conversia automată este o abilitate fundamentală pentru orice inginer modern de detectare.

Puncte cheie de reținut:

Structura logsource este inima portabilității: o regulă, N platforme
Modificatorii permit potriviri flexibile fără a sacrifica precizia
Condițiile de agregare permit detectarea comportamentală și statistică
Un depozit bine organizat cu CI/CD și condiție prealabilă pentru scalabilitate
Maparea automată ATT&CK vă permite să măsurați în mod obiectiv acoperirea

Seria Detection Engineering continuă

În articolul următor vom vedea cum să construim o conductă Detectare completă ca cod cu Git și CI/CD, automatizarea testării, conversiei și implementării regulilor.