evt2sigma

Sigma 规则转换器的日志条目

它能做什么

它从文件中获取日志条目并尝试创建Sigma规则。
它针对 Windows EVTX 事件日志的 XML 格式进行了优化,但可以通过为相应的日志类型添加新的正则表达式来轻松修改以支持更多日志格式。

状态

当前状态是“alpha”。它更像是一个公共 POC,以便其他人可以学习和扩展。

用法

  1. evt2sigma.py [-h] [-f file] [-o out-file] [-fc field-count] [--debug]
  2.                     [--trace] [-a] [-r] [-l] [-t] [-d] [-p] [-s] [-c]
  4. Event 2 Sigma Converter
  6. optional arguments:
  7.   -h, --help       show this help message and exit
  8.   -f file          Read the log entry from a file
  9.   -o out-file      Write rule to an output file
  10.   -fc field-count  use the top X fields
  11.   --debug          Debug output
  12.   --trace          Trace output
  14. Fields:
  15.   -a               Author name
  16.   -r               Reference
  17.   -l               Level
  18.   -t               Title
  19.   -d               Description
  20.   -p               Product (e.g. windows, linux)
  21.   -s               Service (e.g. security, sysmon)
  22.   -c               Category (e.g. proxy)

截屏

evt2sigma - Sigma 规则转换器的日志条目 - 图1