x-force из интереса позабивал ip из малвари с песочницы, ничего не находит. А вот вир.тотал чекает хорошо именно по связи с конкретным вирем.

>у сигмы есть конвертациия в запросы Kibana, ElasticSearch Query DSL, Elastic X-Pack Watcher, но нет в Logstash конфиг

Можно считать, что там нет никакой конвертации. Во всяком случае с ELK Query DSL и Query String полная жопа. Их компайлер просто никуда не годится, он генерирует абсолютно неверные запросы. Вообще, при ближайшем рассмотрении sigma - фуфло. Идея была не плохая, но исполнение не удалось.

А вот мысль описывать запросы в yaml вместо json мне понравилась. Попробовал несколько записать. Так проще. И вроде нагляднее.

И очень простой движок получается, читающий файлы описаний и просматривающий данные в эластике. Практически на страничку уместился со всеми обработками ошибок и исключений.

> Можно считать, что там нет никакой конвертации. Во всяком случае с ELK Query DSL и Query String полная жопа. Их компайлер просто никуда не годится, он генерирует абсолютно неверные запросы.

Можете привести примеры того что у вас не получается сконвертировать?

> Вообще, при ближайшем рассмотрении sigma - фуфло. Идея была не плохая, но исполнение не удалось.

Последний раз тыкал сигму больше года назад, даже что-то фиксил, кидал pull request's пацанам. Меня интересовал конвертор в спланк, и в целом он работал неплохо, если настроить правильный маппинг полей.
Сейчас специально обновил локальную репу и попробовал сконвертировать пару правил в es-qs.
Все работает.

Ждем ваших примеров

Ну, например, компайлер не видит разницы между запросами match, wildcard и regexp. А она есть. В итоге правило с условием Image : "*\rundll.32" компилируется в "match" и не работает.

С query string проблем меньше. Но встречаются. С кавычками там беда. Лишние возникают не пойми зачем.

Короче, после компайлера надо вычитывать каждое правило и переписывать. Правила для sysmon пришлось переписывать почти все.

Вроде разработчик sigma ушел в SOC Prime. И там они допилили sigma

Я не критикую Сигму. Опен сурс не критикуют. Не нравится - перепиши. Просто не хочу переписывать. Не вижу практического смысла. Во-первых, никакого обмена правилами в природе не наблюдается. Авторов правил я увидел не много. В Ангаре аналитиков больше :). Во-вторых, для правил Сигмы нет средств отладки. В любом сиеме и даже в ELK есть консоль для отладки запросов. Как отлаживать правила написанные на Сигма? Компилировать их каждый раз в свою систему и обратно?  Получается чужих правил нет, свои писать не удобно. Нафига козе баян?

Раз в Ангаре аналитиков больше, почему бы им не показать мастер класс. "А вот так надо правила писать".
Пока же по внутренней кухне и контенту самые открытые это солары со статьями на хабре. )

Мы пока на частные референсы водим только, к примеру за последние 2 недели был soc head с мощностью SIEM порядка 100k eps в сутки, была транспортная компания топ-10. Если хотите то пишите в ЛС, может и Вас примем

100k eps в сутки... Тут точно нет ошибки?

Может быть ошибка пересчёта, 2 ТБ/день это

Если не секрет. На сколько рассчитано хранилище с которым работают эксперты в рамках ретроспективы

3 года или до переполнения дисков.
на сегодня 2 года хранят полностью

но такой SOC не один в стране, есть сопоставимый по нагрузке