01
De onde as regras vêm
- O engine emite uma regra Sigma por descoberta com sinal de log detectável. As regras são geradas a partir do padrão de ataque da probe e da resposta específica do alvo — não são templates genéricos.
- Baixe o bundle completo na página da execução (botão Download regras Sigma .yml) ou via API: GET /v1/demo/runs/{run_id}/sigma para execuções sandbox, GET /v1/runs/{run_id}/sigma para execuções de tenant.
- Cada regra vem com um aviso starter — calibre nomes de campo, thresholds e paths de log source para o seu SIEM antes de implantar em produção.
02
Importar e calibrar
- Splunk: passe o YAML para sigma-cli convert -t splunk. Importe o SPL resultante como correlation search. Defina timeframe e threshold compatíveis com a latência de ingestão de logs.
- Elastic (ESQL / Security Solution): use sigma-cli convert -t esql ou o endpoint de import do Security Solution. Mapeie sigma.logsource.service para o padrão de índice correspondente.
- Rastreie o status da regra: starter (importe como está), tuned (thresholds ajustados para seu ambiente), verified (sem falsos positivos em produção por 7 dias — confirmado por replay que o patch fecha o bypass).