timescale/sigma-backends

# Sigma 后端技能 一个用于在各种 SIEM 后端之间转换、评估和部署 [Sigma](https://github.com/SigmaHQ/sigma) 检测规则的 [Agent Skill](https://agentskill.sh/)。 ## 此 Skill 的功能 此 Skill 教会 AI Agent 如何在不同后端处理 Sigma 规则： - **sigma-cli** (pySigma)：将规则转换为 Splunk SPL、Elasticsearch Lucene/ES|QL、Microsoft Sentinel KQL、QRadar AQL 以及 20 多种其他查询语言 - **rsigma**：直接针对 JSON 事件实时评估规则，lint 规则（65 项检查，支持自动修复），验证，以及运行具有关联、热重载和 Prometheus 指标的检测守护进程 - **Pipeline mapping**：针对不同 SIEM 使用哪个 pipeline，以及 ECS、Splunk CIM 和 Sysmon 的字段映射表 用于补充用于规则编写的 [sigma-rules](https://github.com/timescale/sigma-rules) skill。 ## 安装 ``` npx skills add timescale/sigma-backends -g -y ``` 或为特定 agent 安装： ``` npx skills add timescale/sigma-backends -g -a cursor -y npx skills add timescale/sigma-backends -g -a claude-code -y ``` ## 结构 ``` sigma-backends/ ├── SKILL.md # Main skill — quick starts, backend guide, workflows └── references/ ├── sigma-cli.md # Full sigma-cli command reference ├── rsigma.md # Full rsigma CLI reference ├── backends.md # All 25+ pySigma backends └── pipeline-mapping.md # SIEM-to-pipeline mapping and field tables ``` ## 覆盖范围 - **sigma-cli**：转换、列表、插件管理、输出格式 - **rsigma**：eval、lint（65 条规则，--fix）、validate、daemon（热重载、Prometheus、状态持久化） - **25+ backends**：Splunk、Elasticsearch、OpenSearch、Microsoft Sentinel、CrowdStrike、QRadar、InsightIDR、Loki、Carbon Black、Cortex XDR、SentinelOne、Google SecOps 等 - **Pipeline mapping**：ECS、Splunk CIM、Sysmon 字段表、pipeline 堆叠、优先级约定 ## 参考资料 - [Sigma 规范](https://github.com/SigmaHQ/sigma-specification) - [pySigma](https://github.com/SigmaHQ/pySigma) - [sigma-cli](https://pypi.org/project/sigma-cli/) - [rsigma](https://github.com/timescale/rsigma) ## 许可证 MIT

标签：Agent Skill, AI代理, AMSI绕过, AQL, CrowdStrike, ECS, EDR, Elasticsearch, ES|QL, FTP漏洞扫描, KQL, Microsoft Sentinel, pySigma, QRadar, Reconnaissance, rsigma, sigma-cli, Sigma规则, Splunk SPL, Terraform, Timescale, 可视化界面, 威胁检测, 字段映射, 安全工程, 安全编排, 安全运营, 扫描框架, 目标导入, 网络安全, 脆弱性评估, 自动化响应, 规则转换, 逆向工具, 隐私保护